第10期:从入门到年度第四/新人第一的Str1am

  • A+
所属分类:逆向工程


第10期:从入门到年度第四/新人第一的Str1am

58SRC2020年年度第四

58SRC2020年潜力之星

58SRC2020年12月月度第一







大家好,我是Str1am

我的id来源于某个抓包软件哦,我想你们一定知道这是啥软件滴?第10期:从入门到年度第四/新人第一的Str1am 然相遇,缘分永存,便一直用这个id了希望自己可以保持学习的热情,每天都在慢慢进步,技来越强

第10期:从入门到年度第四/新人第一的Str1am


第10期:从入门到年度第四/新人第一的Str1am

加入58SRC的第一年,就荣获了“潜力之星”新人奖和2020年年度第四名,可以说是取得了非常不错的成绩,对此有啥感受想和我们分享的么?


第一感觉肯定是很开心滴~~~同时,也感谢58SRC的新人奖,感谢其他师傅的高抬贵手让我有机会拿到了这个新人奖和年度第四的殊荣。  

第10期:从入门到年度第四/新人第一的Str1am      

虽说2020年3月份才注册的,在58SRC算是一个新人,但对于挖洞来说也不算一个新人了,因为之前也尝试挖过其他SRC,工作中也积累了一些挖洞的经验;当然运气也是比较好的,所以相对其他刚开始挖SRC的师傅,提交的漏洞确认率和漏洞质量会稍微高一点。

不算“新人”的我拿到这个新人奖,还是要感谢58SRC给的这个机会,哈哈。



第10期:从入门到年度第四/新人第一的Str1am

相信很多白帽子都非常好奇,为啥你能在众多新人中表现的如此优异,摘得冠军呢?



其实我一开始挖58的时候,也面临着漏洞的评级和有效率都比较低的问题。自己也挖不到什么太多的漏洞,而且漏洞的质量都不是太高,这个时候还是比较难受,天天都在想其他师傅都咋挖的洞啊???还顺便怀疑了一下人生,质问自己为啥那么菜,哈哈。
后面学习了一段时间后,一直在看一些类似乌云,hackone上的漏洞报告,然后,自己也记录了一下一些漏洞的触发点,哪些漏洞比较容易出现在什么地方,加上一些朋友和我说了一些漏洞挖掘方法。
然后,重新看了58的一些资产,比较细心的观察各个功能点,把可能出现的漏洞大脑中过几遍,再记录一些觉得有问题或者能配合其他漏洞使用的数据包,然后发现了一些看过的资产但是却没有挖到的漏洞。
看到58在做活动就又来尝试挖了一下:
1)慢慢的熟悉了58的业务,同时也收集了更多58的相关资产,漏洞的有效占比也就稍微多了一点。
2)再加上平时自己会学习一个新的漏洞挖掘手法,再代入到SRC中去挖掘这个漏洞,从而能挖到更多高质量的洞。
总之,平时多了解58的业务,比如:看一个网站或者app,先看功能思考可能出现的漏洞再去挖洞;然后,细心观察数据包的各个参数逐一去测试。慢慢的挖到的洞也就越来越多了——挖洞还是需要“细心”以及“多了解业务”




第10期:从入门到年度第四/新人第一的Str1am

开始接触网络安全到毕业之后入职安全公司,讲讲你的全之路呗 ?


大学时,和朋友一起打了一次 CTF比赛,从而对安全产生了兴趣。

自此之后踏上了一条自学的不归路,通过书籍、视频、安全论坛以及参加的CTF比赛慢慢补全自己缺乏的知识。

实习时去了一家安全公司,觉得公司的氛围还是很不错的,在公司中也遇到了许多好学且厉害的同事,在和他们一起做项目的时候自己也学到了许多东西。

所以,毕业之后就正式入了网络安全这个坑了。

至于SRC是今年因为疫情在家,正好一个朋友在挖SRC就和我说了一下,然后就选择了几个SRC尝试挖一下,机缘巧合之下选择了58SRC,一直到现在。

当然,最后还是要感谢几位朋友在平时学习对我的帮助,使我能慢慢成长起来。





推荐阅读

2020年58SRC英雄榜:

            冠军"小鲜肉":一边挖洞赚钱一边学习的小鲜肉

             亚军"chhyx2":挖别人看不到的地方才能挖到别人挖不到的洞

             季军"try":九月58SRC平台英雄榜冠军

2020年58SRC优秀团队:

             米斯特安全团队在58SRC的心路历程

 

本文始发于微信公众号(58安全应急响应中心):第10期:从入门到年度第四/新人第一的Str1am

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: