沪漂三年

admin 2022年11月16日11:40:07安全闲碎评论7 views3229字阅读10分45秒阅读模式
  月亮啊月亮,你能照见南边也能照见北边,照见她你就跟她说一声,就说我想她了。你很优秀,我也要更加努力呀!愿得你心,白首不离。
沪漂三年

1.感慨
  不知不觉来到上海这座大都市“打工”已经三年了。记得三年前离开日照时下着朦胧细雨,坐上南下的火车。只身一人来到上海实习。现在回想起来,应该去北京的,当时在Boos上约了三个面试,所以就来了上海,当时实习还没接触网安行业。找的Linux服务器运维的活,拿着5K的工资,干了8个月,我现在想想都佩服我自己,是怎么熬过来的。不得不说,上海的(小)公司真多,现在想想,当时就应该找网络安全行业的实习,哪怕是最基础的安服也好。
这里应该来一首《南下》
塞北山巅飞雪纯白的她
会不会眷恋江南的花
候鸟衔风沙琴声中旋回檐下
夕阳的醇香正透枝丫
我去向江南那软语里的家
她愿来煮一壶茶吗
春风会吹绿冰封的海角天涯
琴弦流淌着岁月喑哑
想带着你南下
感受四季的变化
看着窗前的花
静静发芽
长成了牵挂
远离世俗的嘈杂
走过春秋又一夏
微笑都变成最美丽的情话
我穿越千山跋涉万水寻她
带着一朵温柔的花
风声中传来思念从远方的家
耳语着她的如诗如画

2.谈谈工作
不安于现状,才有努力的动力。
  我很符合上面这句话,跳槽—是自身能力和现状得出来的结果,当然这是针对小公司啊。对于大公司,人家有健全的晋升制度的话员工可能不会有跳槽的想法。说白了,咱们都是来打工的,说的好听点是有一份朝九晚六的工作,其实都是为老板(资本)打工。在企业管理学中有这样一句话:在必要劳动时间不变的条件下,通过绝对延长工作日,从而绝对延长剩余劳动时间来生产出来的剩余价值,是绝对剩余价值(是资本对打工人压榨出来的)。学了企业管理学,好像明白了专科和本科|研究生|硕士|博士的区别。专科出来,你是给人打工的(除了那些极少数创业成功的),做的工作相对于底层;本科出来,虽然你可能也是打工的,但是你的晋升通道很宽。也就是现在为什么有那么多专科生,或者中专生都想升本科和专科,不管是通过网络教育(函授)或者自考等形式提升学历。包括我自己,目前也是专科学历。
  只能这么说,在中国这个体制下,学历真的很重要。这句话送给还在校园读书的你们(有我的朋友,也有我的亲人)。如果你还在校园,请珍惜你这个学生身份,从现在开始—努力!为了能考上心目中理想的大学而努力;为了专升本考上你心中的本科而努力;为了能有一份体面的工作而努力;为了你向往的生活而努力;为了她而努力。你努力的样子,真的很美。

第一份工作—安全服务工程师
  先来给大家说一下网络运维渗透这个公众号的由来吧。大学学的计算机网络技术,当时我记得数了数,专业课程将近20门;实习做的Linux服务器运维,本来应该就可以找安全相关的工作的,是我自己不自信了,以至于实习8个月埋头把Linux学的这么深;毕业转安全行业,因为是半路出家,只能小公司“打怪”积累经验了。
  做的杂,但却是学到了很多。我简单讲讲都做过啥吧,当时我们公司没有自己的产品,做的代理商,所以安全服务过程中接触了各大产商的产品,当时还没有渗透的意识,现在想想,当时好多产品在手里,错过了好好搞搞他们的机会;还有等保,工资不高,把我当项目经理使,但谁让你没有经验呢,谁让你不会呢,谁让你大学光顾着玩呢,好吧,承认,这是我自找的。做过某个学校几个系统的等保,那段时间几乎天往网安所和学校跑,在学校看着学生们的笑脸,我明白我早已经不是学生了。只能不断学习改变现状;还有接触了护网,也是在某个学校当“保安”,看监控,2020年的国护吧,那段时间爆出来的漏洞我就尝试自己写成脚本,支持单个和批量目标URL验证。当时还没有选中一个好的框架。就酱汁了。

第二份工作—渗透测试工程师
  第二份工作跳槽成为渗透测试工程师,跳槽吗,工资肯定涨了点对吧,不然谁跳啊。在那里我算是真正接触渗透了,其实在上一家公司也接触的,更多是扫描器,说白了就是工具小子。来到这之后就基本纯手工了,看Burpsuite的数据包,手工+工具检测,有时还是会用的,比如xray的被动扫描。当时还没有接触SRC。但是,我在这是驻场的,相当于甲方驻场了,每天通过邮件接收上线系统功能的渗透测试,你也知道,有时那边的开发还故临近下班发过来。还有就是客户每月要做汇报,然后还要做一下统计一下每月的漏洞,做成图文并茂的PPT。大学没学的PPT、Excel技能全在这儿补上了。带了6个月,把学到的东西全给学到了之后就赶紧溜了。裸辞,离谱吧,现在回想起来确实有点任性,以至于我自己单独交了一个月社保。那一个月一方面在找工作,一方面在挖百度SRC。

第三份工作—渗透测试工程师
  第三份工作也是渗透测试工程师,在这里接触了更多的护网,红队蓝队的角色变换着,其实吧,红队,也就那样吧,没有团队协作,只能靠自己的话,确实也就那样,常规套路去得分。关于红蓝对抗我在《
2022HVV行动碎碎念
胡汉三,公众号:网络运维渗透2022HVV行动碎碎念


》中早已有总结。就说这么多吧,未来,我来 ...

... 未来还有更多

3.谈谈SRC漏洞挖掘
  曾经一段时间,我也迷上了挖SRC,毕竟能赚点外快,补贴补贴家用,对吧😜。挖过58SRC、百度SRC、漏洞盒子、补天、阿里SRC、以及现在的天融信SRC、360BugCloud。只能说,挖洞随缘吧,都是一些垃圾洞。还得是代码审计,挖0 day才好玩。一开始觉得CNVD证书好难,现在觉得好简单。对了,还去过hackone,真心菜,挖不动,荣誉值都成负数了。唉,还是先搞国内的吧。
CNVD证书:
沪漂三年
百度SRC:
沪漂三年
天融信SRC排行:
沪漂三年
  现在更多是通过黑盒到白盒的漏洞挖掘,其实也不是完全的白盒,只能算灰盒吧。

4.未来规划
现在以及未来考证规划(考证狂魔):
目前正在自考本中;拿下网络安全管理员三级;拿下全国计算机等级考试信息安全三级;拿下全国计算机等级考试信息安全四级;以及未来的OSCP、CISP-PTE
现在以及未来发展规划:
目前还是渗透测试工程师。技能:python脚本小子、golang脚本小子自学代码审计中:php、python、java入门物联网:IOT设备漏洞挖掘

5.给入门安全从业者的建议
  网络安全的门槛真的很低,只要你是计算机相关专业,通过自学,一般都能找到工作;即使不是计算机相关专业,只要你有兴趣,肯埋头研究,大厂实验室都能进。
  记住,需要写笔记,熟话说:好记性不如烂笔头。特别是干我们这一行,相对来说较杂,而且技术更新迭代快。写笔记、Blog或者公众号都是很好的方式。我喜欢写笔记,一直用的有道云笔记写文章,找工作那会儿,为了能给Boos增加好印象,是不是得有个Blog啊,我懒得搭,也不想维护,于是选择了CSDN写Blog,其实就是我的笔记直接粘贴上去的,那会儿,CSDN还是开源的。后来搞了收费专栏,一开始比例是4:6,作者拿4成,平台抽6成。于是我也开通了,毕竟能有点收入,现在是9:1。我的专栏都是工作中学习总计的技术知识,也反映了我的工作历程。之前搞Linux,发了很多Linux的技术文章;现在搞网络安全,专心写网络安全的技术文章。
沪漂三年
沪漂三年

如果有入门网安的小伙伴,可以去看看哦。

最后送大家一首歌吧《半山腰》
不过是上山的人 怎么嘲笑下山的神这世界最不缺的就是天分
不过是滚滚红尘 不过是雁过无痕我要走的路其实不必多问
曾经我孤陋寡闻 曾经我太过天真现在都成为我前进的资本
跟着我大喝一声 定乾坤跃至山顶破山门
不过是 半山腰 怎敢与 天争高这天下 英雄 有多少
眼一闭 心狂跳 我一跃 万丈高激起千层 林中鸟
我爬到 半山腰 有一座山神庙弟子我 虚心来讨教
修仙的 路遥遥 想得道还很早到山顶 再一览众山小
半山腰 天争高英雄 有多少
心狂跳 万丈高千层 林中鸟


更多文章请前往:https://blog.csdn.net/qq_41490561




沪漂三年
更多精彩内容请关注我们

沪漂三年

沪漂三年


沪漂三年

往期推荐

沪漂三年

沪漂两年总结 

一周年纪念—Record My Life

SRC漏洞挖掘与ReadTeam快速打点利器 


原文始发于微信公众号(网络运维渗透):沪漂三年

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月16日11:40:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  沪漂三年 http://cn-sec.com/archives/1412301.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: