实习经历
2019.10~2020.04 某甲方 安全开发实习
2020.04~2020.06 某乙方 安全研究实习
甲方
小甲方安全团队人少,所以虽然岗位是安全开发,但基本啥活都会干一点。
安全思维
这是实习半年最大的一个收获吧。以一个信安学生的身份,进入甲方实习。以前一直觉得安全就是渗透,二进制,IOT,往下学不过是代码审计,免杀提权,内网APT。
但在甲方,思考的应该是如何正向的去建设一个企业的安全。怎么把一个项目落地。如果出很多方案很多规章制度,却不能落地执行,也是一个很大的问题。
因为安全是没有产出的,所以在甲方纯技术的岗位是比较少的,除了大甲方能养得起实验室做安全研究外,大部分甲方都是偏运营的岗位多一些,比如做等保合规,制定公司的安全管理制度,公司内部和外部SRC的安全运营,公司整体的安全架构。甲方安全人员做的渗透测试,代码审计的内容也会偏少,主要是制定安全方案然后去业务线推动落地。像渗透审计这类的活在企业安全初步建立的救火阶段做的比较多,成熟以后会以SDL,外部SRC提交,内部自动化的形式来减小时间的浪费。还有一些常规运营的活比如安全意识的宣传,内部做一些钓鱼邮件测试。
数据安全,接口安全,服务器安全,办公网安全,每一个点都有很多事情可以做。
比如办公网安全,办公网的准入,身份认证。之前也试过做radius+ldap+802.1x的准入方案,还有比如对设备的识别,使用双因素认证。
数据安全:DLP数据防泄漏,数据的分级治理,数据水印,数据的脱敏。
接口安全:防篡改,防重复调用,比如短信轰炸的问题就是很典型的接口安全问题。
身份认证:SSO,LDAP,OAuth
bl00dzer0 师傅的 开源安全架构
推荐下一个师傅的文章:失业之前的安全工作总结
有甲方的工作经历好看着就觉得很实际很有感触。
立个flag 今年结束前读一下聂君的企业安全建设指南
渗透测试
感觉自己做渗透的时候还是不够仔细吧,一些参数一些功能存在问题的地方没有去发现。
安全开发
主要是用的Django
钓鱼邮件系统:Django+rabbitmq+celery 用队列来发送邮件。
安全平台:DRF+angular 后端DRF写API,前端用angularJS,也涉及到一些celery做异步任务比如发送通知邮件,查询信息之类的。
不足:设计思想,代码质量,以及一些架构类的问题。数据库models如何设计,一些常用的功能函数如何解耦,如何使用redis做缓存。没有接触一些SAST,DAST的实现设计。
安全SDK:参考陌陌开源SDK
应急响应
日志审计
代码审计
bypass师傅写的笔记很好了:https://bypass007.github.io/Emergency-Response-Notes/
不足
可能是因为我们安全团队人数太少吧,感觉没有一个浓厚的安全氛围,也没有像在学校里一样会和同学经常讨论一些技术性的问题。当然也和我自身比较内向有关,遇到问题总是喜欢自己一个人闷头搞,最好也能解决但是会浪费不少时间。开发这一块一直也是自己在做,在一些设计思想,架构基础上提升很有限,还是需要多写代码,多看一些优秀的项目。
渗透这方面也需要多挖些补天和SRC吧。有时自己还是太懒了回家就不想看代码。
总结
感觉确实没学到太多吧。
一是自己不太主动,遇到问题更喜欢自己一个人埋头苦干,虽然也能解决,但是会浪费很多时间,后续工作中应该多和导师老大交流。
二是对工作的深入的思考还比较少,比如工作中接触到的一些数据安全,接口安全,IOT的东西,没有深入去学习了解。以后应该主动学习,接触到的东西要及时了解总结。
多动手多实践,认清现实放弃幻想。
离职前老大给的建议:
- 做好职业规划,制定好长期的一个大致目标,三年内要达到什么目标,五年内要达到什么目标
- 多考虑如何从正向去建设安全,在研究一些安全问题后多思考如何防御如何解决
乙方
在乙方做的是红队方面的安全研究,因为自己决定放弃工作选择读研,所以实习的时间很短只有两个月多一点,感觉接触的东西还是很少
内网渗透
这一方面涉及到的就比较多了
- 外网信息收集
- 边界突破
- 内网代理转发
- 权限维持
- 免杀
- 横向移动
接下来会做一些总结,玩一些靶场,提高下自己内网的能力吧
红队建设
一些常用工具服务的搭建,C2,DNS隧道,DF等等
推荐下wing师傅博客吧 我太菜了
https://evilwing.me/
攻击手段
平时日常会做一些漏洞复现,然后写exp写脚本,总结攻击手段。还有屯一些绕waf的payload,当然大佬还可以挖0day屯0day
渗透应急
有时也会做一些渗透应急的项目,渗透主要拿shell为主,之前做一个项目的时候找到一堆mssql和oracle的注入,但是拿shell总是失败,接下来做一下这方面的实验和总结
总结
实习时间太短,而且其中还有一个多月的远程,自己也比较浮躁吧,没有去沉下心做一些有深度的东西。
需要补足的一些技能短板吧:
- JAVA WEB,学java 熟练利用熟悉原理
- Android,学一手APP渗透和简单的android逆向吧,方便从移动端找突破口
- 内网
还是有些迷茫,不知道未来自己该选择哪个方向
总之希望研究生三年能形成自己的核心竞争力吧,早一点确立目标,然后努力实现。
共勉