2020.08.18.记-致新生

前言

昨天半夜梦回大一,梦见我dm大哥又在嘲讽我,天天搞些有的没的,不好好学点有用的。

惊醒之后,十分怀念大一求学的日子,当时也是鹤立独行的逃了大部分课,跟着一起小伙伴一起学习安全技术,虽然挂了不少课,但是也算学有所成。

不知不觉已经在阿里工作2年了,天天做需求,沦落为钉钉答疑工程师许久了,忙到blog也有两年没有更新了,东西没学到啥,骚话倒是学了一大堆。两年过去啥也没记录好像也不太好,应该多写写总结,即使和技术无关。

面试相关

最近面试几个实习生,给我感觉都是在攻击方面做的比较多,但是防守差了一点点。
想了一下之前自己也是这样喜欢做攻击方面的研究,防守方面随意了解一下就OK了,再加上ctf都是玩攻击那一套,这种重攻击弱防守的情况,好像就是圈里的新手的普片现象。

但是如果你毕业以后想去大厂做甲方,那下面几个知识点,可能需要你去加强:

1.基础漏洞原理及其修复方法

面试时候问到漏洞原理,小伙眉飞色舞,说的一套一套。但是问到怎么修复,大多支支吾吾,解释不清。
作为专业钉钉安全漏洞答疑工程师来说,熟悉各种漏洞修复方案的能力是必备的,不然和开发同学是装不了逼的。

这里推荐jc老师的java-sec-code,jc老师来了阿里以后沉迷于漏洞治理工作不能自拔,他已经把这几年遇到常见漏洞java代码已经修复代码都放到这个项目了,只要你好好研究了他写的每一个漏洞例子,你就可以和他一样骚!

如果你想来阿里,请多了解java方面的安全漏洞和cve。

2.代码能力,全面覆盖漏洞发现

熟练掌握一种以上的计算机语言能力,考虑如何编写程序,来批量挖掘漏洞。
大厂资产多,手工一个一个是弄不过来的,需要考虑使用代码来全面覆盖漏洞挖掘。

黑盒方面
我一开始也不知道怎么去写工具,后来我dm老师推荐我去读别人写的优秀代码,然后我就去github瞎搜,读了挺多nb的工具代码,比如sqlmap,虽然个人感觉代码难看,但是漏洞挖掘思路方面很赞。
我的凤凰扫描器,其实一开始也是参考了github上的lightscan,之后从端口扫描开始更多了解主机安全漏洞扫描,web漏洞扫描.... 这段经历对我目前的工作帮助很大。

白盒方面
相较于传统的黑盒漏洞扫描,白盒自动化代码挖掘门槛更高,这块和静态程序分析息息相关。这块个人研究也不深,贴一些lightless师傅给我的资料吧:
1.南大老师的软件分析课程,bilibili上搜uid:2919428(老师很帅)
2.pmd项目
白盒自动化漏洞扫描比黑盒扫描难的多,但是两者对应用安全来说都是非常重要的。

rasp&iast
这块我也研究不多,贴一些学习资料吧:
https://rasp.baidu.com/
http://rui0.cn/archives/1063#more-1063
http://rui0.cn/archives/1175#more-1175

日志分析方面
甲方最多就是日志,主要有:

  • 主机系统日志 (可以参考http://blog.wils0n.cn/archives/186/讲的ossec日志syslog分析)
  • web流量日志 (之前以为web日志就是request日志记录,后来才发现web日志还能有response,基于这个可以做很多漏洞检测的)
  • dns日志
  • sql执行日志 (sql注入的检测..)
  • ...

海量的日志分析,可能需要掌握一些大数据的基础知识。不过在阿里,他封装好了大数据的处理能力,只要通过sql语法就能来操作海量数据处理了。所以你只要熟悉掌握各种join语法的sql使用方法和udf编写方法就可以了。

上面提到的项目,还是基于你有扎实的基础知识编码能力,才能深入研究的。

结语

上面说的内容,仅仅是我个人感觉甲方重视的点,各个公司不同,不具有普片性,不喜轻喷。
但是如果你对我上面提到的内容都很熟悉了,欢迎加入我们。简历请投:weisen.cws@alibaba-inc.com

想起又是一年入学期了,估计不少大一的小伙挺迷茫的,给个人小建议:多尝试,找到喜欢的,合适的就坚持做下去、大学才是开始真正学东西时候,千万别荒废了呀……
最后祝新生们学业有成,鹏程万里。

标签: none

评论已关闭