关于我

某学院计算机科学与技术大四在读学生

由于感觉语雀观感比博客好,所以文章也会放在语雀上,链接:https://www.yuque.com/tianxiadamutou

Github地址:https://github.com/KpLi0rn

个人公众号:木头的信安小屋

最后争取做一个有快速学习能力的白帽子,就像 ringzero 前辈所说的:

拥有快速学习能⼒的⽩帽子, 是不能有短板的,有的只是⼤大量量的标准板和⼏几块⻓长板

加wx之前请说明准确来意 (技术交流就好,别上来就问能不能收徒,我也不是什么技术牛人不配收徒也不会收徒.....)

碎碎念....

​ 算了算从刚开始学习安全到现在差不多已经两年半了吧,我是从18年底开始接触安全的,当时由于想玩破解版2k18然后下了个木马下来,打开就短信爆破后面还把诈骗短信发到我父母那边去了,当时那种无力感至今难以忘怀,只能靠下不同的杀毒软件来尝试清除,就在这时候接触并认识了我师傅 Poc Sir ,当时师傅快速的定位与解决把我这个计算机小白看的一愣一愣的,这也更加坚定了学安全的想法,所以说我能有现在这样很大程度上离不开师傅的帮助,说真的一直非常感谢他。

​ 决定学了安全之后,就想着怎么开始,就去问师傅 “外面有没有好的培训班,想报个培训班学习“ (可见当初的我还并没有自我学习的意识,都是想着报班来解决),于是师傅就说到培训班有什么好上的还不如我教你呢,听到这话可把我开心的,毫不犹豫的就同意了233

​ 师傅教我的方式并不是外面手把手的教,而且在简单演示过之后给我任务让我自学然后第二天将结果给他进行验证,不得不说这很大程度的帮我养成了自我解决问题的习惯,而不是遇到问题就第一时间去问别人,然后在11月初开始到1月份,简单的对一些 web 漏洞有了浅显的认知,也会用了一些 burp sqlmap 等工具,但是此时我对语言的接触非常少,像 python,php 都没怎么接触过更别说 java 了,于是在寒假开始跟着那本封面有蟒蛇图片的那本书开始学起了 python,然后期间做了很多 python challenge 这种,然后就是 sqli-labs 以及一些其他漏洞类型的靶场,这时候更多的就是自学了,因为师傅也很忙也不可能再像刚开始那样每天教我,期间认识了 Ascotbe 师傅帮忙转换了一些 poc 这种(然而后面当鸽子了怪不好意思的),同时在有了一定的基础的情况下也具备了自学能力

​ 到了暑假有幸认识了 kill 师傅,kill 师傅将我拉到一个群里渐渐的就认识了很多学习安全的师傅们,也知道了还有 ctf 这个玩意儿,于是也在网上找了点题目开始做 ctf 例如 buu 墨者,ctf 练剑场这些,但是做了一段时间有可能挫败感太强?就感觉没有 wp 就没有思路的感觉(其实就是缺少自我思考自我发现,说白了就是懒)然后做了一段时间就放弃了,然后就开始转向挖洞这块,一开始是真的挖不到Orz,在疫情那段时间由于天天在家时间也比较多所以那段时间就一直在挖洞,也慢慢有了思路,说实在的一开始对挖洞这东西感觉真的很迷茫,完全不知道怎么下手,后面询问了一些师傅的学习方法然后看了看乌云的一些漏洞库,慢慢的有了自己的一些思路和想法,所以就简单的挖了些,然后后面暑假就去安恒实习了

​ 在安恒实习的时间不长因为只有暑假,从6月底入职到9月初离职,期间真的学习到了很多东西,接触了很多,比如说应急这块说真的平时真的接触不到,还有就是一些实际的渗透测试这种,以及安全这个行业主要的一些方向也都有了了解,在实习期间还做了一件事,就是写 Packer Fuzzer 这个项目,这是我师傅当初的一个想法,然后喊我们一起做了大概 3-4 个人的样子前前后后写了三个月吧,项目最后在十月初正式上线了,到现在也有了800多个 star ,也是第一次从头开始参与一个项目的编写,期间也遇到了很多问题,真的事只有自己做了才会发现各种情况,但是现在再去看那个项目感觉耦合太严重了,当初只想着能用但是完全没有想过解耦,导致很多东西都揉在了一起,这样使得我现在写代码更加注重解藕的问题,然后安恒实习完之后就和 leader 要了一份 java 安全学习的路线,便正式开始了 Java 安全的学习,先从 servlet 到 mvc 再到 Springboot 这种学习,这样一下子就到了寒假 ,也就是 今年 21年的寒假,身边的师傅陆陆续续的都开始投了简历,于是乎我也开始进行了简历的投递 ,陆陆续续面了字节京东等厂家,期间也发现了自己的很多问题,例如技能栈太少,实战经验少等等,其中 knight 师傅和俺说多学学 java,于是乎就开始了 java反序列化这块的学习,于是从寒假到现在都在学习java反序列化这块。

​ 现在来说说自己的问题吧,首先我觉得就是基础不扎实,像操作系统,数据结构,计算机网络这种没有静下心来去慢慢学习过,这几门知识我觉得的在今后是一定会用到的,而且只会越来越有用,还有就是语言这块,说白了还是写的太少,后面打算多写点工具来锻炼锻炼自己的写代码水平 ,同时缺少一门自己擅长的技能,其实像 java 反序列化这些网上都有文章,只要静下心按照文章跟源码其实都能看明白,但是如果是自己挖掘的话就又是另一回事情了,像我就一直觉得我的文章写的缺少思考,缺少自己去钻研的那种想法,所以平平无奇这也就是为什么我从不进行投稿的原因(说白了就是我太懒了,毕竟有思考和研究是需要花很多精力和时间的)所以后面针对这个问题也会努力的去改,尝试跳出自己的舒适区,在学习一个知识点的时候真正的能有自己的思考和看法。剩下的就是一些技能栈,感觉到现在为止并没有一些拿的出手的技能栈,后面想着专心弄弄 java 审计这块。还有就是最近的一些看法,其实也就是落地吧,感觉很多东西只有自己去做了落实了才会去想一些问题,就拿防御这块来说,例如 sql 注入防御如何做?按照八股文的答法应该就是预编译那块,然后 order by 处不能进行预编译,需要特殊处理,例如实体映射,那么究竟如何去落实到代码呢?所以后面想问题有可能会更多的会去尝试实现,这样也是为了更好的发现问题并且解决问题,毕竟搞技术的嘛,还是得多折腾点,之前就是因为太懒太懒,思考上的懒惰,行动上的懒惰。所以现在也在慢慢的改正,对了还有就是英语的问题,感觉英语还是蛮重要的,自从四级过了之后就一直没有怎么准备六级了,后面每天多背背单词吧,毕竟会英语还是终身受益的

  • 2022.01.13

最近在注重基础方面的学习:主要在学习 离散数学、编译原理 这两块

编译原理是个硬骨头,之前看极客时间的教程并同步跟着做了,但是突然到了作用域那块跨度就一下子很大了... 然后看的时候感觉一些细节也不是很清楚,所以买了本龙书再看,龙书这两天看了差不多200页左右,看的时候发现有的章节还需要点离散的知识,所以又去学了离散.... (回炉重造真是一个痛苦的过程,不过痛苦才会成长)

打算这段时间把编译原理前端部分给拿下,然后再去补充补充其他的基础知识,基础知识扎实的情况下学习安全也快很多

这段时间把基础都打一下之后后续就开始看一下 fuzzingbook 看一些论文,道阻且长.....

  • 2021.12.23

距离入职还有68天,感觉自己还没有做好万全的准备。

感觉越学越菜,太多东西缺少整体的思路,只会学习别人提出来的是远远不够的.... 对自己的定位还是不够明确

都说量变引起质变,有可能我还是看的太少学的太少.... 另外如果有做入侵检测或防御这块的师傅可以加个好友

  • 2021.11.18

拿到了以前从来不敢想的公司发的 offer,说实话拿到之后第一时间想的是我能胜任吗?我能为公司带来远超我薪资好几倍的价值吗?我有拿得出手的技术吗?说实在的我感觉我并没有信心。
所以最近也有点焦虑,不过焦虑也没用趁着学校期间多学习学习新技术,后面工作有可能针对云上攻防会多一些,所以最近在看绿盟的那本云原生安全攻防感觉那本书写的很好,然后跟进跟进陈师傅星球里的最新漏洞咨询看看计算机基础…. 近期差不多就是这样的一个节奏吧
一直以来感觉自己写的东西都是学习别人提出来过的,感觉自己没有提出过有意思的东西,有可能是针对一些知识理解的不够透彻,不会举一反三,思维不够扩散吧.. 所以最近漏洞分析都是尽可能只看官方文档来锻炼自己的独立分析能力…
近期差不多就是这样吧.. 希望自己能好好利用时间,尽可能在学校期间多学习一点东西.. 现在大家都学的很快 (内存马在年初的时候感觉还算相对新的东西,但是在现在看来已经人尽皆知了),而我却自己感觉自己有点停滞不前了,加油吧..