2018总结与2019展望
前言
写博客真是一个好习惯,如果不是写博客,我不会发现原来2018的新年计划会成为自己的一面照妖镜。2018年的计划是失败的,不够具体,而且也没有规划好路线,2018的计划中有很多是超出自己的发展路线之外的,导致我今天来看,发现很多写在计划上的目标都没有实现(还真是挫败啊),所以今年我要汲取教训,制定一个更符合自身发展的计划。
2018
回想了一下2018的种种,好像什么都没做?还好翻了翻博客,原来2018年我的进步还是不少啊,由于有了2017年知识的积淀,让我2018年的学习更加充实了一点,也更精深一点,如果说2017年是我接触计算机知识的元年,那么2018则是我向网络安全行业迈的第一步,这一年上半年专业课挺多,但都是一些必要的课程,而下半年(大三上学期)课业很少,都是专业课(嵌入式),而我则选择了放弃专业课,所以有了很多的时间来研究Web安全这一块,但是扪心自问,这一年自己做了什么?我还真说不出来,索性说一点这一年中自己出现的问题。
- 做事虎头蛇尾
例:公众号因为不能添加外链,自己不想排版等问题,自己闲置至今。写了一个个人博客,写到半途就不想写了。一个xss扫描器写到一大半就丢到一边了…(虽然最后还是要写完
- 严重拖延症
总是在等deadline,执行力严重下降,越来越不够自律,越来越喜欢放纵
- 懒
这已经是骨子里的懒了,一旦待在一个地方就不再想动了,连把衣服送给洗衣机都不想动,但是这也造就了我久坐的本领
- 难以走出舒适区
不得不说宿舍确实是一个容易呆上瘾的地方(这里的人说话又好听…),就像毒品一样,是一个时间的黑洞,除此之外还有点染上了短视频的毒,我需要时刻铭记生活的真相其实是很平淡的,没有影视作品中那样慷慨激昂与暧昧,这些东西看的越多就越难接受生活
- 心态难以快速转变
2018也终于意识到自己在某种意义上就是个文盲,所以会开始多读书,all kinds of
2019
汲取了2018年的教训,我觉得2019的新年计划采用表格,并实时查看并修订,每完成一想就pass一项
技术相关
| 计划 | 权重 | 是否完成 |
|---|---|---|
| 进入网络安全行业,作为一名技术人员 | 1 | 1 |
| 实现一款线上漏洞扫描器 | 1 | |
| 学习java web | 1 | 1 |
| 二进制安全(0Day那本书) | 3 | |
| 2 |
7.22日更:
可能是时间与空间发生了变化,我的想法也有所改变,对于写博客这件事我需要重新权衡一下,写博客太花费时间了,我得想想值不值得
还有就是关于学习二进制安全这一块,它确实很吸引我,但是他毕竟和web安全没什么关系,我需要分出一半的精力去学习,让我有点犹豫,所以目前我的打算还是先磨炼web这一块的技能:黑盒、白盒、开发,从这三块入手,这后半年也过去了有一个月了,再梳理一下自己后半年的方向
- python
- java
- 后半年能够坚持审计代码,主要靠审计cms来赚取足够的经验,大体路线规划:普通cms——mvc架构cms(php)——(java)直接分析复现经典漏洞。最后结果力求达到不怵任何php审计,熟悉java审计中常见特性,以及能够独立完成java程序审计 目前水平:审计mvc架构的php cms有点吃力,没有自己的审计技巧
- src挖掘,一直不太喜欢黑盒测试,所以这一块也很薄弱,所以还是打算有针对性的训练一下
- 无论是拓展知识面还是查漏补缺,每周都应该认真学习一篇freebuf上的文章,然后出一篇博客
- 开发,一直比较喜欢做开发的事,所以,会尽力完成一些工具,暂且没有计划,可能从二次开发vtest开始吧
- 总的来说,这一年剩下的时间不太多,能做的事情也有限,我的精力也确实有限,所以,我还是想更加精确的执行目标。所以,我会把更多的精力花在磨炼白盒测试技能上。
8.29日更:
我以为已经过去很长时间了,没想到才一个月,但是平时也感觉时间过得飞快,这个月做了一些事情,也有了一些新的想法。看了7月份的一个总结,觉得自己坚持的还不错,但是,同时也意识到了一些问题,以前总是觉得自己可以做很多事情,现在才发现不得不向时间低头,上面提到的src挖掘,我这个月应该只是花了几个小时实施。确实没那么多精力,哎,今年只剩下三个月了,又是一眨眼就过了,我现在都感觉这份计划是在昨天写就的,照目前我的计划实施效率来算,可能php审计还要花费一个月时间来达到我满意的程度,java审计可能需要一个半月,甚至是两个月才可以。所以,无论下一个目标是做什么,可能都只有最后一个月时间去实施,我想暂定下一个目标是开发。(题外话:秋招就不参加了,毕竟找工作花费的精力有点大,这样我的目标又得往后推…如果我实在受不了现在的工作,就等等春招吧)
如果安全研究都是做现在我做的这种工作,那么我想试试其他岗位,java安全研究?渗透岗?安全开发岗?
再大概总结一下这个月做的事吧,学驾校(可能每天花费三个小时),thinkphp历史漏洞分析(让我对tp熟悉多了,对框架审计有一些想法了,不得不说框架确实不太好审计),一些历史漏洞的整理,以及poc编写,还入手了awd,以及二进制安全的一些基础知识(栈溢出)。下一个月我想进行java 应用历史漏洞的分析,入手java审计,然后也打算处一系列分析文章试试
10.17日更:
9月份我做了什么?答案就是一事无成,9月份犯了很多错,工作上的,生活上的,但是,塞翁失马焉知非福,工作上局限于眼界不够严谨,生活上,丧的日子明显增多,据我统计,九月我的学习时长比8月少了50个小时左右,足以说明问题,这也是给我的一个很好的教训。除此以外,我的java代码审计又推迟了,php代码审计也没有达到我满意的状态,关于php白盒有点过于着急了,我以为自己能力足够去独立审计一些大型的应用了,然后我也去实施了,但是没想到四处碰壁,elxis、thinkphp、joomla我都去尝试了,elxis与joomla都是mvc模式的,对我来说很吃力,我每次找路由都够呛,再加之elxis那恶心人的waf,这几次尝试可以说是头破血流了,总的来说,还是缺乏经验,对mvc架构的设计不熟悉,没有技巧,我每次上手基本都会采用全文通读的方式审计代码,这有点累,而且效率极低,很打击自信心,所以我还是决定回炉重造,审计小型cms以积累经验。
上面是白盒,还有一件很重要的事,黑盒黑盒黑盒!!!我觉得我再不渗透的话,我就会被淘汰啦,慌张!
除此之外,最近也看到一些其他的东西,接触了一些想法,感触很深。我之前就有年初做总结与计划的习惯,但是计划到年末往往都无法完成的相当满意,但是最近听到一个up主的理论,大意就是计划没有全部完成是很好的状态,因为那是你年初制定的计划,后面的一年时间里,随着时间空间的改变,你的想法可能会改变,极大可能是你成长了,如果你依然按照当初那个局限的你所指定的计划去执行,那么反而会很奇怪,不能全部完成任务不代表你这一年过得很糟糕,只是你一直在成长罢了。所以,我感觉今年我采用的这种记录的方式就很棒,动态的修改计划,并且不定期总结反思,希望能够得到正反馈。
还有一个比喻让我印象深刻,把努力的过程比作推动一个物体的过程。高中物理我们学过,要想推动一个物体,是需要克服该物体与接触面的最大静摩擦力的,在我们施加的力量没有超过这个最大静摩擦力之前,无论我们怎么努力,这个物体都是不会动的,只有我们的力量大于最大静摩擦力的时候,物体才会开始移动,这真的像极了努力的过程,努力是不会马上就反馈给你结果的,只有你坚持努力做正确的事情直到超过最大静摩擦力,你才会得到正反馈,不像游戏那么快就能得到奖励。
还有上面提到的坚持做正确的事情,坚持很重要,做正确的事情更重要,考前突击复习,也许能拿高分,平时认真学习也许都没突击来的分高,消耗的时间反而更多,但是哪样才是正确的学习姿势呢?听说(也不知道可不可靠)学霸的学习模式是指数级的增长,而普通人则是线性增长,普通人知识点之间是独立的,是简单的加法,而学霸学习,是知识的串联,是指数级的。哎,胡言乱语!胡言乱语!hhhh
个人发展与兴趣
| 计划 | 权重 | 是否完成 |
|---|---|---|
| 观察自己,分析自己 | 0 | 0 |
| 找一门好的经济学网课或者书籍,跟着看一看,学会从经济学的角度看世界 | 4 | |
| 读历史、读文学 | 4 | |
| 一个月至少一本书 | 3 | |
| 开一个博客,写一些技术之外的东西,总结自己读到的这些东西(用自己的话讲经济学、历史、文学),三周两篇的频率 | 4 |
书单
下面会列出自己想要读的或者2019年已经读过的书籍,以供后续参考
| 计划 | 权重 | 是否完成 |
|---|---|---|
| 《在黑暗的河流上》席慕蓉 | 0 | 0 |
| 《谁都能学会的说服心理学》 | 2 | |
| 《消费心理学》 | 3 | |
| 《中国近代史》蒋廷黻 | 2 | 1 |
| 《宏观经济学》 | ||
| 《麻辣经济学》 | ||
| 《内裤从哪里来》 | ||
| 《快乐上班的经济学》 | ||
| 《牛奶可乐经济学》 | ||
| 《一个王朝的背影》 | 1 | |
| 《正说大清十二帝》 | 1 | |
| 《一只特立独行的猪》 | 1 | |
| 《流浪地球》 | 1 | |
| 《半小时漫画中国史1》 | 1 | |
| 《秦崩:从秦始皇到刘邦》 | 1 | |
| 《那时汉朝1》 | 1 | |
| 《那时汉朝2》 | 1 | |
| 《活着》 | 1 | |
| 《如何有效的阅读一本书:超实用的笔记读书法》 | 1 | |
| 《毛泽东传》 | 1 | |
| 《呐喊》 | 1 | |
| 《杀死一只知更鸟》 | 1 | |
| 《追风筝的人》 | ||
| 《小狗钱钱》 | 1 |
代码审计记录碑
| 应用 | 收获 | 成果 |
|---|---|---|
| ecshop | 后台的一个ssrf?没啥用 | |
| semcms | 小cms,未授权访问,sql注入等,任意文件删除 | |
| thinkphp | 对pathinfo处理不当会导致任意代码执行,感觉可能是通病,以后要留意其他的cms | |
| elxis | waf挺难搞 | |
| joomla | 不算是审计,就是大概看了一下,了解了一下他的路由等,session处理的问题 | |
| anchor cms | 总的来说,这个cms功能很简单,一个轻量级的博客系统,基本就是一个增强型的记事本功能,功能单一,数据库查询使用pdo,且不存在错误的使用pdo导致的sql注入,针对xss以及采用了htmlentities,csrf采用了token防御,不存在登录绕过以及未授权访问等情况,用户只有一个admin等级,所以不存在越权,没有可控的文件写入,总体来说,这个应用的功能主要集中在后台,前台无利用点,后台也没发现什么问题,可能了解的漏洞类型有点少,思路不够宽,没有挖出啥漏洞。这个cms的路由等功能还是挺清晰的 |
一些这一年中的想法
就在一个月前,我正式开始实习,对我来说是一个新的阶段,前段时间忙着找工作,上班,基本没学到什么东西。这个过程中,我想了很多,关于未来,关于金钱,最终得出一个结论,工资不能使我富有,工资只是一个基础保障,我应该学习除了工作以外的一些才能来赚取金钱,然而我还没有特别好的思路,理财?做自媒体?当然,我觉得最符合我个人发展的就是,利用自己工作的技能来拓展副业,渗透,挖洞这些都可以是副业,这样提升可能更快。