随笔
2020年7月份,大学刚毕业,参加工作半年左右,目前从事网络行业
大学期间专业课是数学,在培训班自学了两年网络和网络安全的东西
考过一些证书,像CCIE、PTE之类的,之后做过一段时间的网络培训自由讲师
一直想做渗透测试,没办法毕业之前接触的少,去公司面试
面试官一看:呦呵小伙,网络基础不错,先做个网络工程师把,渗透之后给你转
单纯善良的我就这样开始了我的第一份工作
小时候,梦想是成为一名黑客,怕犯法当时没敢干!以为人生与梦想无缘
毕业了,梦想成为一名白帽子,每天都在努力,做一个追梦人吧!人生真是何处不相逢
说真的,自学真的很累,一边要努力做好手头工作锻炼自己的能力,一边要抽空学习渗透知识
网上教程视频啥的有很多,有时候看到了就会忍不住多看一会
看少了怕学不到,看多了学的又乱,除了头大之外,身上瘦了十几斤
最后决定还是先从最常见的Web漏洞基础学起吧
一开始就是看书看视频,像WEB安全深度剖析、白帽子讲web安全、Python3快速入门与实战、Metasploit渗透测试手册等
是边看边自己跟着敲敲代码,搭环境做做练习啥的。后来发现理论学了一大堆,不光是学着后面的忘着前面的
而且实战挖漏洞啥的,也是没啥思路,眼看时间过去俩月了,这样下去不太行,转行之路遥遥无期啊~~~
于是后面开始关注一些爆出来的经典类型漏洞,像永恒之蓝、DOS攻击、IE浏览器代码执行漏洞、远程桌面代码漏洞等
准备复现几个感受一下。。。又开始不停的搭环境,找各种资料,哪怕是跟着人家一步步来
爽完之后,渐渐平复了一下我躁动的内心,饭要一口一口地吃,基础还是要一点一滴的积累啊
回归到最初的学习上来,我觉得重点是多练,技术没到家还是尽量不要去搞人家的站,对你我他都好
之前是在DVWA平台上练习技能,有实验有源代码,可以从代码层面去专研一下,但好像实验有点少哈
一次偶然的机会看到了人家写关于Burp平台的实验过程,我就顺着地址找了一下,好家伙,足足两百个实验
一瞬间要发家致富的感觉哈哈哈,不说了来活了,,,
从那以后每天沉浸其中,边学边练,每一个实验都要做笔记,有什么漏洞,做了哪些限制,通过什么手段绕过等等
不过,Burp平台上的实验和技术文档都是英文的,不认识的词句可以百度翻译,看多了也就习惯了,意思都是那个意思
由于白天还要工作,每天就只有工作之余和晚上的时间,所以进度还是比较慢的
某天又一次在某SRC平台闲逛,顺便搞一下,不,看一下人家的网站。。。好的,看完了
心情郁闷的又做了俩实验,感觉实验环境中的网站跟现实中的还是有挺大区别,虽然做的比较逼真
眼看着别的大佬提交一个又一个漏洞,拿到一份又一份奖金,就我所知的那些技术手段,在这种场合是几乎不存在的
形势所迫,只能再一次做出改变,这一次先去了解了HTML和Js语言,怎么说也得看懂网页源代码写的都是啥吧
JS代码实现的是什么功能,标签都是干啥使得,是否有可以尝试去利用的点
这一次在平台上练习实验的同时,要更注重总结,例如,漏洞的原理,如何去测试漏洞或做了哪些限制,绕过手法,防御思路等
而且要贴合实战,多去各大SRC平台看看,大网站搞不定,可以先搞小的,有奖金的挖不到,友情测试一下也是可以的嘛
长远一点的目标就是,多从代码层面去理解漏洞的原理和防御,只有这样才能构造出新的姿势出来,感觉旧方法已经很难挖到了
最近还看到有大佬构造出测试某个漏洞的万能payload,可绕过很多种限制,也想自己搞一个低阶版的,先从两个开始吧
有关于实战测试以及学到东西的感悟啥的,之后会写上一些,算是记录一下我成长之路上的经历吧
自身技术薄弱,写的东西也会基础一些,平日时间不多,尽量多写点东西,以后再看可能会是一个比较好的回忆
坚持,努力,不放弃!
扫一扫
1237
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
