第6期:挖别人看不到的地方,才能挖到别人挖不到的洞
迎清风以祛累,寄弱志于归波!!!
——ID:chhyx
大家好 我是chhyx2
其实,我的id是chhyx,一个热爱铲屎的安全从业者。希望自己能够不要被太多的杂事影响初心,能够在生活的前提下为安全多少做些贡献吧!
你是怎么开始接触网络安全的呢?
作为一名普通本科通信工程的毕业生,我自然不可避免的陷入了找工作的迷茫。捡起了手里的考研英语,看到了第一个单词-abandon、abandon、abandon,知道它告诉我该放下了......
拿着简历出去,误打误撞的面到了一家安全公司,面试的时候被当时的技术总监忽悠晕了。无奈当时确实也不太懂渗透,又残存了应届毕业生最后一丝天真配合着对面卖力的挽留,"进公司会有人教的!进公司会有人教的!进公司会有人教的!",就懵懵懂懂的成为了一名光荣的"服务器配置检查工程师"。
误打误撞进入安全行业之后,你又是怎么开始挖洞的呢?
我喜欢给别人介绍,我是挖洞的......剩下的给他们自己幻想了。
在公司里,悄悄看着其他人做的渗透报告,刷着freebuf,幻想自己也有一天拿着上万的工资干着看起来酷酷的事。
没有天才的故事,在各种资料看的头大也不知道自己该从哪里学起的时候,我还是去报了培训班。
培训对我来说,最大的收获是拥有了一群一起成长的伙伴,大家一起讨论漏洞,一起分享新发现的姿势,一起成长。当时培训的毕业要求是挖到等于学费的漏洞奖金(当时是3000块),我就去漏洞盒子挖了一个星期竟然就毕业了......立马带着奖金截图去朋友圈里炫耀着自己的快乐。
真是一个快乐的开始啊,那你在挖洞过程中有没有遇到过挫折呢?
不久,那个自以为拿着burp便可以挖穿地球的少年就遇到了瓶颈。但是,在朋友的相互扶持下,也磕磕绊绊的继续挖了下去。
后来,渐渐开始明白面对一个网站,重要的不仅是对可见功能点的测试,更是对框架组件的,基本三要素的了解,试着去发现一些规律,观察这个网站把接口写在什么地方,观察各个接口可能互相存在逻辑关系。
当然fuzz也是必要的手段,是没有头绪时候的突破口,毕竟看到了别人看不到的东西才能挖到别人没挖到的漏洞嘛。当然这种情况的发展和我懒得学资产收集有非常大的关系,大部分情况都是直接inurl就开始怼了,所以如果有朋友问我怎么资产收集,我说layer或者inurl不要觉得我是骗你的哈,确实是事实。
感觉你好淡定啊,能够在遇到困难或问题时,及时思考和总结。那通过挖洞有没有给你带来一些意外的收获或成就感啊?
其实,聊到挖洞的成就感,无非是脱贫之后的喜悦,看着喜欢的东西能够带回家的快乐。
本来一年多没有碰src了,前段时间跟着前同事玩合约硬是亏的想哭,决定戒掉合约挖洞回血,也是,没想到挖洞的第一天就碰到了俩严重一高危直接回血了,也算是一年多积累的收获吧~~~
最后,评价一下自己吧?
所有朋友对我挖洞的评价就是细心吧,那种压缩的js我有时候都能看很久,其实一开始的严重也是一些从压缩js里面提取出来再构造的隐藏接口。挖别人看不到的地方,才能挖到别人挖不到的洞吧!
侠之大者,为国为民;侠之小者,为友为邻。我感觉我无非是一个还算喜欢钻研技术,能让身边的人生活好起来的普通"黑客"罢了!
58SRC白帽群
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![Luna稻田樱子今日份女教练有这样的教练,你几点练车?[馋嘴][馋嘴][爱你] ](https://imgs.knowsafe.com:8087/img/aideep/2022/6/13/58cd6884b69f8b5fea435207eeade356.jpg?w=250)
58安全应急响应中心
关注网络尖刀微信公众号
