9年网安回忆录：从乙方到互联网甲方再回乙方

首先在这里对关注我的粉丝说声抱歉，拖更长达4个月之久，这段时间忙于其他事情无暇写作。今天偶然间看到袁哥的一片文章《绿盟往事以及八卦》，于是有了今天这片《网安回忆录》。

我知道写技术文章很多人都不太喜欢看，所以和大家扯扯蛋，分享一下这九年的网安经历。标题写的9年是网安正式工作经历，也就是2016年3月校招进入启明星辰开始，但在大学期间其实也做过一些兼职，所以算上实习、兼职的话从事网络安全至今大概也有12年之久。

因为高中上课看“黑客X档案”，被老师当众调侃：“你不好好学习，看这些杂志以后能干嘛，这小身板去工地搬砖都搬不动”。（当时很精瘦，岁月是把杀猪刀，如今已是油腻大叔）。

因为高中家里有电脑，周末在家就学着黑客杂志去日站，那时候算是启蒙阶段吧，当时的黑客杂志也很少会有技术分析，大部分文章都是记录日站的过程。这个期间最大的收获就是学会了怎么使用工具去日站。那时候还是asp主流，大部分开发者没有任何安全开发意识，也没有像现在这样依赖框架做开发，现如今的web框架具备很好的安全性。当时日站的思路就是用啊D、明小子、御剑，这个站日不下来就换下一个。

当时的站点都是托管在虚拟主机上，所以一个日不下来就C段，C段日不下来继续找其他的，比如google hacking搜索inurl:?articleid=。SQL注入、XSS满天飞的年代里感觉10个站里至少有2～3个能日下来，挂上大马就算是日下来了，然后挂上黑页“xxx到此一游”来炫耀，这可能是我们那一批所谓的黑客特有的“炫耀文化”（大概2014年前）。总之这个阶段就是SQL注入、XSS、任意文件上传，御剑扫到后台地址的话再试试弱口令，能进管理后台的话再来一边后台注入、xss、木马上传，记忆中进后台干的最多的事就是找上传点。

大一下半学期，我印象比较深刻，有一次我在实验课日站偶然被老师发现，老师站在我身后看我日了好久，当时我是拿到了webshell，在尝试提权拿服务器administrator（当时搞windows server比较多），因为当时聚精会神在提权，所以没注意到身后站着人，结果冷不丁听到一句：“你在搞渗透？” 我当时愣了一下，后来就从师生关系变成了很好的朋友。也就是这位老师给我提供了第一份安全兼职工作，大二的时候让我去职业学院给学生上渗透测试课。当时自己也是个半吊子，感觉也就日站思路多点，工具用的熟练点，那个时候懂个屁的漏洞原理，真正开始学习漏洞原理大概是大二下学期，当时接触到了wooyun，才慢慢脱离了工具小子。给学生培训也就讲讲思路，怎么做信息收集，通常用什么漏洞日站，平时用的工具有哪些，一个站日不下来后的思路大概又是怎样。总之当时的我是比较水的，但在那个时间段，我给人家讲的这套东西确实也让人家能拿到wbshell。

大三的时候在法克论坛认识一个北邮的大佬，人生中遇到的第一个信息安全科班，我很感谢这兄弟，让我静下心来思考漏洞的本质而不是一味的使用现成工具，在他鄙视我不会编程后发奋图强学习python和php。当时应该是2012～2013年左右，我是从那个时候开始学习编程，开始学习漏洞原理，看wooyun上的漏洞分析文章。在这之前，我甚至都不知道SQL注入的本质是参数拼接。。等于说，08年到的12年这4年里我没日没夜的日了很多站，但本质上一个工具人，没有打基础。

大四的时候法克论坛改名听潮论坛，论坛创始人当时组建了一个小团队在创业，我就过去兼职，主要接渗透的小项目为主，基本上是大一点的公司不愿意做或者有些公司有业务资源但没人做最终给到我们，也就是技术后项。因为大四课很少，当时项目全国各地都有，这段兼职工作跑了不少城市。当初法克论坛的这批人好像大部分混的都很好～～～

大四下学期出来找工作，当时也没那么多的安全科班，也不卷学历，所以我们野路子出身的也很好找工作，三月份就拿到了启明的offer

在启明主要负责渗透，说实话，百分之九十以上的客户其实也不懂渗透，所以你做的好做的差客户也没办法评估。大部分情况下，我们其实就是工具人，拿着公司漏洞扫描器，或者自己github上找的工具哐哐一顿输出，然后出一份渗透测试报告就完事了，漏洞的质量只能说一般般。后来到了互联网甲方搞软件安全，参与软件系统的设计架构，自己也出漏洞修复方案，对软件安全有了更深的理解，然后回头看在启明的自己，确实有些弱。说白了，在启明搞渗透的那一套还是用已知的漏洞库去扫，本质就是已知漏洞与软件系统做匹配，只不过工具实现自动化了。当时一些主流的漏洞原理我都掌握了，也能编写python脚本实现一些专项漏洞扫描，比如SQL注入，XSS，SSRF，也写过一些CVE的EXP，知道漏洞原理其实写攻击脚本很简单。

当时拿到年终奖从启明离职（说实话有点不厚道），在东南亚背包旅行了几个月回浙江。

之后在杭州一家安全创业公司干了大半年，给省大数据做安全服务，19年那会儿刚好数据局在弄政务一朵云，我们算是数据局上云的安全服务支撑。渗透也做，应急响应也做，当时hw时候因为齐治堡垒机0day被搞进来了，开展应急响应工作，一天半没有睡觉，处置完了之后走路都是恍惚的。当时我们也在搞安全平台，也算是职业生涯首次正式参与安全产品的研发，当时负责云安全组风险检测、RDS白名单风险检测和阿里云安骑士离线检测三个模块，因为之前都是写脚本，没做过系统开发，所以代码写的shi一样被研发负责人吐槽了（PHP漏洞靶场Pikachu作者）。

软件开发这东西，说难也不难，多看多模仿就行了，后来我就模仿研发负责人写的去改。反正我现在再去写，感觉应该不会再被吐槽了。当时涉及到的任务调度，分布式我都还没有机会参与，说白了这3个模块就是调云平台接口，把检测规则写到数据库里，然后和接口去匹配。比如云安全组有一条策略是-1/-1，any to any，就能触发告警，还有比如其他的高风险端口比如1433、3306、6379这些高风险的服务端口。像这种安全组、RDS的检测其实应该是兜底作用，在开安全组、RDS白名单时就要走审批流，以管理的方式预防风险，技术检测只不过是验证作用，验证管理做的到不到位。

2020年到了互联网甲方，一家做互联网健康的私企，现在已经香港上市了，我去的时候还是C轮，安全团队刚组建，自己真的挺幸运的，一方面是独角兽企业有安全需求，另一方面正好安全几乎刚开始做，而且互联网大厂的同事真的很优秀，在这种背景和环境下，想不成长都困难，但换句话说压力也是最大的一段工作经历。我的职位是高级安全开发工程师，当时我以为就给企业的业务系统挖挖漏洞就行了，结果挖出来的漏洞业务团队一拖再拖没有修复，然后找领导反馈这个问题，因为牵扯到业务团队的利益（或许是上线时间点滞后会扣绩效吧～），最终把问题反馈到CTO，然后我们安全部门开始写漏洞管理制度，画漏洞处理流程图，编写漏洞定级标准和处置指南。在智云健康我感触最深的几点：

1、安全网关的设计思想，因为有多条业务线，一个业务系统发现了一个漏洞，在另外一个系统也发现，这种情况就不仅仅是在这个业务系统里做修复了，修复方案是更上层的安全网关，比如任意文件上传漏洞，我们就设计了文件上传网关，根据业务的需要来网关申请需要上传哪些类型的文件，网关级的修复方案是更复杂的，所以对软件安全设计的理解达到了新的高度。2、因为搞安全方案，搞SDL建设，要和不同部门不同职位的人打交道，我现在会经常质疑他人的方案或者在工作上挑别人的毛病或者觉得这里不完善那里有欠缺，感觉都是在智云养成的习惯，当时我们安全团队出方案基本都是要做技术评审的，互联网企业里搞技术的内卷的很，评审会上很会找存在感，质疑你方案这里有问题，那里有问题，你这么做的依据又是什么，这个安全网关做出来你们怎么去说服业务团队来接（比如有些业务系统自己的上传接口是安全的，他凭什么来用你的文件上传网关）等等之类的质疑和挑战。于是安全技术、软件架构、合规、研发等技术方面以及沟通能力经过不断的技术评审在全方位的在成长。

3、向上管理，刚过去其实主管对我是不太满意的，因为我不太和他沟通最近在做什么，或者或他知道我在做什么但不清楚进度如何。和主管沟通基本也就只有在周会上，和领导之间很有距离感。后来经常叫主管去厕所抽烟（原来我是不怎么抽烟），有时候也一块儿吃饭，没事儿楼下星巴克来一杯，就是这些间隙时间拉近了与领导的距离。说实话，我是遇到一个好主管，因为对我期望是比较高的，所以可能会严格一些，同时会教我一些工作上的为人处事道理，我印象中最深的一句话是：我们安全有时候不要冲的太前面，即使你有能力，即使你看到了问题，但在准备冲之前好好思考下，站在老板的角度或者站在其他高层领导的角度你应不应该冲。

总之智云健康是我成长最多的一段工作，从最初的业务系统漏洞挖掘，到SDL体系建设，再参与APP隐私合规项目，从蒙头搞技术到学会刷存在感。虽然上市之前也在裁员大名单中，但直到现在我还是很感谢智云，感谢之前主管。

2022年智云裁员后到了吉利集团，主要也是做应用安全方向，搞的事情和智云差不太多，智云安全建设过程中大部分东西都是自研或者找开源的改一改，感觉很多互联网企业都这么玩，吉利毕竟是车企，不是互联网企业，安全建设过程中很多都是采购，所以与企业适配度没那么高。。自研的或者开源，可以根据实际需求来改，与企业更适配一些。2023年刚好在吉利做了一年被裁员。我感觉自身能力也没啥问题，至少和企业里那些产品经理、软件架构师技术battle不虚他们。说实话，有些时候和对方换成pk也会遇到知识盲区，这很常见，但我已经学会一本正经的胡说八道了，反正对方也不懂安全。。吉利当时我们重心在做隐私计算平台，这东西算是研究性、创新性、探索性的方向，所以一直在投入，钱扔进去看不到一点水花，其他几个互联网业务基本也只能维持平衡，所以就被裁了呗。

智云和吉利都是大规模裁员，智云健康2022年那一波，杭州互联网圈大家都知道的，研发负责人都被干掉了。吉利2023年那一波知道的人可能不多，总之就是资金撑不住了。

2024年从杭州回到老家，回到安全乙方。一回来不适应是肯定的，经过智云健康这么一捶打，又到吉利集团学到一些规范化的东西，说直白点就是到衢州做信息安全有点降维打击。衢州信息化相对杭州是落后很多的，而信息安全的建设停留在重依赖安全设备上，即使做安全服务也是依赖设备较多，简单点说感觉衢州的信息安全建设大概落后杭州5-10左右。虽然有在做安全建设的事情，但做得不深，很多东西也没有规范化，信息化负责人对信息安全理解较浅、缺少信息安全规划和架构意识、信息安全不成体系想到什么做什么，总之需要完善和优化的东西非常的多，这不仅仅是安全层面的事情了，而是整个信息化落后的问题。我目前在本地的一家安全服务公司，负责为客户构建安全的防御体系，有时候充当售前和客户沟通提取安全需求，有时候充当安全技术专家做安全方案评估，有时候给公司开发软件系统，目前中心在做安全运营体系建设，但总归没有回去干渗透老本行。现在公司老板、总经理人都很不错，没有杭州大厂里那些技术老人的质疑或者压迫感，总的来说还算不错。接下来除了业务上的事情，或许还要完善公司规范化运作，明确工作责任和管理制度之类的事情需要推进。

我们是衢州本地信息安全服务公司，也是本地最具认可的公司。衢州这边的信息安全目前还是比较滞后的，如果你们够专业，同时想找本地渠道商，有安全上的合作想法可以私信我。

我和圈内好友组了一个团队（大厂攻防专家、企业安全负责人、资深软件研发工程师），提供安企业安全体系建设指导服务、安全代理面试官服务、安全培训服务（安全意识、SDL、CTF）、企业渗透测试服务、中小型软件研发项目。

原文始发于微信公众号（信息安全笔记）：9年网安回忆录：从乙方到互联网甲方再回乙方