休学的一年,学习网络安全的第一年
2021年11月1日,是我从英语专业转专业到计算机的第二年半,也是我学习网络安全的第一年。而我休学期已满一年,回到了校园。
刚休学的时候,去了天津。2021年1月1日,元旦节,我背着电脑在天塔下结冰的湖面飞快地奔跑。作为南方人,这是我第一次见到湖面结冰,开心地快飞起来了。
2021年4月至2021年8月,在四个月的实习生涯中,接受了很多前辈热心地的帮助,也结识了很多好兄弟。
在工作中,也有很多出差的机会。去了上海,见到了东方明珠陆家嘴黄浦江。去了南昌,刚下高铁就被小混混围追堵截。在南京待了4个月,去了中山陵、玄武湖、夫子庙、省委党校,最快乐的事就是去朋友家做饭吃饭,一起去逛景点。然后是大哥请兄弟们吃饭。最后,还去了苏州,参观了公司总部。被苏州木渎公安问候了个遍,因为赶上疫情最严重的时候出南京了。顶着台风烟花参观了苏州园林。苏州的晚霞艳丽,绿化茂密,气候也很宜人,房价也比南京友好,很适合居住。
在2021年6月对加密货币领域产生了兴趣。未来技术栈发展可以参考慢雾科技招聘。
在短暂的实习生涯中,我遇到的大部分站点都是JAVA后端框架。但是我对JAVA语言本身就不了解,也没使用过JAVA Web框架。我只了解应用逻辑。这是我Web安全职业生涯中遇到的第一个瓶颈:暂时没有能力进行JAVA代码审计。可是我并不甘心仅仅去使用别人写好的Poc和Exp。我想从代码层面挖到有价值的漏洞。所以未来4个月,我将用一部分时间系统地学习JAVA Web应用的开发,达到对常见框架基本掌握的水平。做到能审计JAVA站点代码,能独立编写exp。其余的时间,系统地学习INE的课程。在毕业以前,不会挖国内的SRC了。主要原因是2021年9月1日起实施的《关键信息基础设施安全保护条例》,明哲保身。其次,我认为刷SRC数量的对个人提升意义不大。用漏扫跑Poc就可以完成对常规漏洞的检测了,再用脚本去批量提交。关键还是得自己写得出Poc。
工具只是手段,不是目的。渗透测试的目的是找出所有的漏洞。
2021年10月19日,和我的老朋友一起去吃烧烤了。阔别一年,他的观念也发生了一些转变。他曾经非常坚定地想要工作,也在一家安全乙方大厂有过实习经历。现在,他在准备考研。他打算在研究生阶段发几篇有影响力的SCI。这些都是为了run做准备。成为学术性人才是一条我未曾设想的路。听说,2021年9月24日发布的某通知,也影响了一些朋友的情绪。
愿不枉,愿勇往。无论过去,因为我们不能改变过去。不问将来,因为将来一定会因我们而改变。