实习记录——第三天

今天还是去学习，昨天看另一个实习生有在了解ctf什么的，我就打算也看一看，问了问我的导师，他说我闲了可以看看，把我拉到了公司的ctf组，本来以为会是什么高大上的组织，结果好像就是平时分享分享知识，偶尔打个比赛，今天加进去，一天没任何动静。

简单看了看导师发的资料，web里面好多没见过的漏洞，感觉基础太差了，又找到小迪准备踏实学，害怕这两天让我去客户现场干漏扫，我又看了一下漏扫工具的使用，看是差不多看懂了，但是没用过，还是感觉差点儿。后面我就直接看小迪讲课了，也不知道咋搞的，居然一天就看了一节课，好吧~为了彰显我干的多，我把昨天晚上回学校干的东西也一起写上去，写日报这个事情，上一次实习给我留下很强的影响，每次写不好就被拉出去说，咱就是说，管公司有没有要求我，我都给他写详细仔细了，以下是我的日报：

 1.24日总结：
一， 学习昨天剩下的web应用安全测试指南；

二， 对.NET框架进行了一个总结，并写了一篇总结笔记：
1. 了解了.NET项目当中的dll的反编译操作；
2. web.config错误调试，报错处容易造成信息泄露；
3. 此类项目易出现未授权访问，在网上找了几个例子阅读了一下；

三，对cookie和session产生漏洞的原因做了总结，并写了一篇总结笔记：
1. cookie保存在客户端容易被修改伪造窃取；
2. 联动xss可以达到权限维持；
3. session保存在服务器端易产生session劫持；

四，对PHP特征函数做了复习：
1. 手写简单php代码测试函数效果；
2. 了解各个函数常见的绕过方式；
3. 找了几道PHP相关的ctf题目；

感想：
以前我只是简单了解一些Web的CTF题目，但是今天在学习PHP特征函数的过程中，我发现学习CTF并不仅仅是为了参加比赛。很多需要审查代码的地方在实际战斗中仍然会出现。因此，我计划在平时有空的时候多看看相关题目，深入了解和熟悉，以便更好地应对实际挑战。

别看干的多，吸收的并不多，忙着记录实验，没有复盘，晚上星辰（亦师亦友的人）问我你写的都吸收了？这一问我还真不敢说，这才意识到写的挺多，吸收的几个？这个感想我没写到日报里，今天就这样了，明天继续加油！