永远不要和别人比。和昨天的自己比,只要是进步了一点点。就是好样的

图片

2019-01月,2018荒废了一年,决定2019重新拾起安全

2019-02月,陆陆续续的学到了一些漏洞原理:越权漏洞、逻辑漏洞、CSRF、XSS…等等

2019-03月,能够自主的挖掘一些补天公益厂商的漏洞

2019-04月,已经开始转向SRC:WifiSRC、京东SRC、携程SRC…

2019-05月,创建了HackerOne团队

2019-06-12日,是我最开心的一天,五年的重逢

2019-06-23日,看完了《月亮与六便士》,受益匪浅,好久没看书了,一星期的时间看完了这本书

图片

1
2
3
4
5
6
7
8
9
10
11
什么是生活?生活的意义是什么?

很多事渴望名声,追求利益,很多人希望名利双收;

大多数人按部就班,却过着平庸乏味的生活。

所以做自己想做的事,过自己想过的生活,心平气和,怎么能叫作践自己?

做一个有名的外科医生,一年赚一万英镑,取一位漂亮的妻子,就是成功?

我想,这取决于你如何看待生活的意义……

2019-06-13日,购买了一台电子琴,决定在家自学钢琴。

图片

这首曲子是我最喜欢的一首钢琴曲,来源于爱乐之城这部电影的原声带:Mia & Sebastian’s Theme

虽然很难,不过早晚有一天我会吧这首钢琴曲演奏出来,弹给我最心爱的女人听!因为演奏是最幸福的事啊!

我就是为了这部电影,这首钢琴曲激发了我去学钢琴的欲望,当摸索着弹出第一个音符时,我就被深深地震撼到了!

摸索了几天,五线谱能识别了,但是识别的很慢。不过没关系,我会坚持吧钢琴学下去,就像当初我学吉他那样,不忘初心!

2019-07月,这个月天天在外面陪伴她,不过这个月是我最开心的时候了

2019-08月,开始学习网站容器的相关漏洞:IIS,Apache 等等

2019-09月,前半个月挺不错,后半月心不在焉

2019-10月2号,两个月的恋爱最终结束,我还是不会谈恋爱,这段感情我也尽力挽回了;顺其自然吧,也祝福你能够变的更优秀!

2019-10月5号,关于后渗透我有好多不懂,参加了5号黯区的后渗透培训,预计半年结束!创建了一个微信公众号:漏洞知识库,每天记录学习的笔记

2019-10月11号在诚殷网络WEB安全培训,今天也是顺利毕业了;毕业条件就是挖掘WEB漏洞把学费给挣回来,今天也是完成了目标!

图片

图片

也是感谢老师的栽培,没来到诚殷之前我挖洞只会使用扫描器,如果扫描器没有扫描出漏洞我就会觉得没有漏洞然后放弃;来到诚殷之后,我学会了很多漏洞的原理以及挖洞思路,总而言之感谢黑无常老师的帮助,让我走上了WEB安全这条道路,希望我能不忘初心,越走越远!各位需要学web安全的请来诚殷准没错!

  • 谈谈我对挖洞的看法

WEB漏洞挖掘无非就:弱口令、逻辑漏洞、xss、sql注入、jsopn劫持、cors跨域、csrf、ssrf等等,其中逻辑漏洞偏多

经过这段时间的漏洞挖掘下来,总结了一点经验:

一定要学编程语言!一定要学编程语言!一定要学编程语言!重要的事情说三遍!

借用偶像猪猪侠的话:

1
2
3
4
5
想要轻松驾驭SQL注入,就去了解脚本语言,了解SQL语法;
想要轻松驾驭内网渗透,就去了解操作系统,网络的日常使用;
想要轻松驾驭XSS攻击,就去了解前端语言,CSS+HTML+JS的基本语法;
想要渗透不了解的未知系统,就去了解调试技术,黑盒测试技术,比如(IDA、Wireshark);
想要自动化的减少体力活,建议你了解Python,要深入一点就了解C/C++;

真的,前辈说的话一定要信!我现在感觉我对sql、xss不是很精通,现在才开始学脚本语言,因为你虽然掌握了漏洞挖掘的原理以及技巧,但是你不能深入的去利用漏洞。所以说就很无奈,当你学完了开发脚本语言这些,再回过头来挖洞你会有不一样的思路!因为知识面决定了你的攻击面,你的知识面越广,你能发动的杀伤链就越深!

目前挖洞就到此为止,自己还是有很多的地方不足,对于漏洞的原理知识还是比较淡薄,准备不挖洞了,静下心来学习一下开发

2019-11月,这个月学习内网渗透

未完待续…