人生有很多有意思的第一次,有的是开心和喜悦,而有的是难受和烦恼,不管在大学中混的好与坏,学习优异或者是技术大牛,还是躺床上玩游戏泡妹子……不管酸甜苦辣我们都一步一步走过了三年的大学生活,都说大学是个缩小版的社会投影,但是在我看来,不,校园就是真正的温暖的“摇篮”,让你可以无尽的沉沦下去,但是又不得不面对快要毕业这一现实。当我们作为一个懵懵懂懂的“中二”青年走出校门的那一刻,我们就真正走上了社会,不管前方是荆棘遍布还是困难重重,我们已无路可退,唯有破釜沉舟前行。
我觉得我是被幸运之神眷顾的,当同班同学还在埋头投简历参加招聘会的时候我已搭上了讯飞的顺风车~~~,因为这是讯飞公司安全团队第一次和我们学校进行试点合作,恰好给我们赶上,所以我们无疑是受益的一方,因为凭我们的学历或者是技术水平在以前是想都不敢想的事情,所以既然有了这个机会我们就得好好把握,就这样我们开始了为期两个月的岗前培训。
依旧记得那培训的一个月,我们克服了种种困难,来接受技术知识的洗礼,享受真正的饕鬄盛宴,两位导师很认真很负责,真正做到了从零开始,手把手教学,说心里话我是非常感谢他们的,是他们将我带进了安全的领域,接触到了真正的“技术”,老师们不只教我们学习技术更多的是教我们做人、做事。让我们明白了什么是敬而远之决不能触碰的“安全红线”,什么是坚决维护必须摆正的“人生价值观”。这无疑是给我们进入社会,走上工作岗位前打了一剂强力预防针,让我们受益终身。
7.6号早上,为期一个半月的岗前培训结束了,之前收到了通过考核的消息让我们感觉到我们这段时间的付出得到了认可,漫漫长征终于跨出第一步,当我们在人力资源部签订工作协议的时候感觉是那么的不真实,因为我也是一名“实习生”了,角色的突然转变令我有些手足无措,面对前方未知的世界我可能还没有做好充分的准备,但是人生就是现场直播永远没有给你彩排的时间。
当天上午签过协议后领了电脑我们就去报道,下午人员分配名单出来了,我和一个女生是另一个导师带的,心中多少有点忐忑因为直接之前没有接触过,导师过来简单的认识下,就立马让我们装环境直接上“项目”,说实话我当时是一脸懵逼的,但是既然选择了就不存在什么后不后悔的,直接硬着头皮上吧。就这样我开始了我“酸爽”的实习生生活,也真正开始走进这个社会。
一晃一个月过去了,从我来讯飞已经有一个月时间,虽然只是短短的一个月,但是现在回头想想真是感慨良多,因为在这一个月里发生了很多很多值得我一辈子铭记的事,不管是对我以后的发展还是成长都是一笔不可或缺的宝贵财富。
这一个月让我对一直如雷贯耳的“中国声谷”——科大讯飞有了一定的认识和了解,原来自己上班的地方是这么的厉害,对讯飞的业务也有所了解,对我们安全测试人员的主要工作也做了一定的了解,这让我觉得新奇和新颖,因为之前一直活着“校园童话”里,对公司实际上没有什么概念,真正近距离接触才能学习到新的知识和技能。公司和学校最大的不同就是公司有规章制度,一个公司有成熟完善的奖惩制度这个公司才是真正“高、“快”、“好”稳定发展。在学校的自由散漫和什么都无所谓的态度在公司是坚决不存在的,因为我们讲究的是效率,是责任,是不折不扣高质量的完成任务。所以态度、思想观念以及身份的转变令我感触颇深。
刚开始的时候说实话工作真的是很吃力,虽然说接受过培训,但和真正的接手实际项目还是有很大的差别,因为是做项目,问题都是包含在功能点中的,和我们所搭建的测试环境不一样,我们不仅要对每个漏洞很清晰,而且还要知道漏洞经常发生在什么位置,在不同的功能点中以何种形式呈现,这些都是我们刚开始所考虑不到所欠缺的,所以一开始挖起洞来十分吃力,但是我觉得我又一次被神眷顾了,那就是我的导师,不仅是工作导师更是人生导师,是他在这一个月中给予了我太多太多的帮助,不仅是工作上更是在做人做事上,我是真的衷心的感谢他。平时只要我们有问题不管他多忙总会第一时间给我们解答,每个项目结束了主动给我们讲解我们在做项目过程中的问题和不足,以及提交报告存在的错误,一丝不苟的性格令我深深折服,刚开始的那一个星期是我印象最深的一段时间,因为我们基本上每晚都会进行“课后辅导”,导师他忙了一天晚上还要给我们上课,帮助我们理思路讲解白天工作遇到的困惑和问题,然后教我们进行安全测试时的常用思路、方法和整体流程。虽然我们可能当时一知半解,但是后来遇到了问题他还是会耐心的给我们解释。真的很认真很负责。
到现在我仍记忆犹新的是找到第一个XSS的时候,因为当时来了快一周都没有找到一个高危漏洞,所以当时还是有点沮丧的,但是当那个项目中找到保存的位置弹出一个框时,真的把我所有的无奈和沮丧都弹出来了,那一刻我真的想跳起来喊两声,因为我觉得这是我挖的第一个高危漏洞,当时真的非常激动。现在回头想想,那时候的自己真的好傻……
我一直有个错觉,那就是sqlmap真的可以跑出来注入嘛,因为我跑了两个星期真的跑了无数个参数从来没有跑出来过注入,但是当我在跑那个教育项目中一个页面左下角很小很不起眼的搜索框时sqlmap给出了不一样的信息——第一个注入点,真是人品大爆发啊,但是我就知道问题肯定不是一帆风顺的。当我尝试着跑当前数据库名和当前用户名时什么都没有,难道是我的语句不对,上网查了发现语句没问题,但是就是没有检测出,我不禁对这个注入点产生怀疑,因为工具总有误报的时候,然后我问了导师,他进行手工测试判断这个地方确实是一个注入点,但是可能做了字符过滤,所以没有返回结果,然后他又研究了一会还没出来,后来我就直接跳过这个问题,直到中午的时候他给我发消息说跑出来了,也把命令发给我了,很遗憾我当时看不懂。现在回头想想当时的我缺乏追根溯源的精神,没有对每一个问题进行深挖,没有对该掌握的知识点了解透彻,真是惭愧,但是事后我积极总结,找出问题在哪并及时克服解决它。
文件上传是一个不得不谈的坎,在每一个项目中都有大量的文件上传的点,所以各种各样的绕过姿势让我们欲罢不能欲仙欲死,但是后来才知道公司的项目一般测试环境上传的文件是放在静态服务器上的,所以一般是没有办法进行利用的,但是还是必须找出能上传脚本的点,因为项目在真正上线的时候我们是没有办法进行测试的,没有办法考虑到真正的项目是什么环境,所以我们只能保证把这个问题带来的风险降到最低,不放过每一个能利用的漏洞。因为一开始确实思路比较乱所以导师让我看-同样的问题,上传的绕过和防御的方式有哪些?就这个问题问了我三遍我还是说不知道,确实是我自己的问题,然后当晚回去就查资料然后记下来,可能我现在不是很了解,没关系先背下来,毕竟只有熟记才谈得上真正的运用,否则遇到了再去查那是真正来不及的。
在安全组也有一个月了,在这里我学到了很多课堂上没有的东西,不只是知识技能,更多是对待工作的态度,做事的态度和方法,考虑问题的方法和解决问题的思路,当然我的导师也教了我很多为人处世的技能,总之令我受益匪浅。来实习之前多少还是有点忐忑的,但是来了安全组以后才发现大家都很和善,都很努力厉害,小小的安全组是真正的“卧虎藏龙”,每一个都是真正的大牛。当然不仅仅局限于技术,以后我还得向前辈们多学习,及时发现自己的不足然后积极的去弥补,争取能早日融入项目中去,每一个遗漏的细节争取下次不再犯。
谢谢当时给我们上培训的两位导师,也谢谢带我的两位导师,当然还有我们的老大,是他给了我来讯飞来安全组实习的机会,衷心感谢他们。
3085
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
