2022年总结与反思

　　过了腊八就是年。今天是2022年12月30号。也是2022年最后一个工作日，今天在这里，写下我的2022年年度总结与反思。

　　对我来说，2022年，是收获满满的一年，是个人成长的一年。

      在2022年的末班车，我赶上了新冠肺炎，新冠肺炎对我打击的很大，不论是对我的身体，还是心理上，都造成了极大的创伤。

　　看网上，很多朋友们的症状很轻，反应不是很大，你们是幸运的。我永远无法忘记新冠对我的伤害。我个人的症状反应极大，症状很重。经历了10天的斗争，现在虽然转阴了，但是人仍然是痛苦的，身体还没缓过来。

　　即使转阴了，现在还是有一些后遗症的情况。 1.看一会电脑就头晕头疼 精神无法集中 2.偏头痛问题 3.鼻塞和咳嗽 4.嗅觉和味觉的短暂消失。

      这些后遗症是病毒带给我的伤害，也是在告诉我，人类的恶报来了，我们的好日子到头了。

　　2022年对我个人来说，也是很魔幻的。年初，经历了上海长达2个月的疫情封控，当时也是大批老年人死亡去世，他们得不到有效的医疗治疗，每当中华民族每个人遇到生死存亡之际的时候，中国的医疗水平总是不能眷恋到每一个子民，总有人提前离我们远去。这次年末的放开也是一样，你医保有钱，子女们腰包里有钱，成车成车的往医院跑，仍然无法挽救一个个鲜活的生命，看着家里的老人，或者自己的至亲，在疾病中远去，从疾病中倒下，我们是痛苦的，经历者的内心是煎熬无力的，是绝望的。大部分的老百姓害怕的不是昂贵的是医疗费，而是等不到治疗。别让等待成为一种遗憾！

　　希望这次疫情中华民族可以走向胜利。可以增强，加大覆盖中国的医疗资源，提供提出高效惠民的医疗方案，尽最大全力为我们老年人，孩子们，提供最佳的解决方案。

 　  一次随想，一次失败:

　　有时候闲聊的时候，总会迸发出很多想法。我记得那是2022年年初，那时我记得我每天晚上下班后，就在家打游戏玩，这让我觉得很不好。过去，上学那会，我放学后，总是会回去挖挖漏洞，学习学习。

　　现在就只有白天在公司学习学习，而下班回去，就很少学习了，这种感觉很糟糕。毕竟我还年轻，还是要靠技术吃饭的，技术是我绝对不能丢的。为了回到最初的感觉，我又回归漏洞挖掘了，再次尝试Src/众测之路。

　   和朋友也正好闲聊了下，想着闲着也是闲着，找点事做，我们尝试下挖下国外漏洞，一直挖的国内漏洞，对国内可以说非常熟悉了，我们转型挖下国外吧。

　　就这样一拍即合，2022年，一整年，已经挖国外整整一年了。

　   前期我参阅了h1上很多给予赏金的厂商，自认为个人漏洞挖掘能力还算不错，我选择了shopify这个厂商，选择的理由很简单。 1. 漏洞最少奖励500刀 2.以前挖阿里src比较多，对于电商类型网站，相对比较熟悉一些。

 　真的很难挖。shopify的业务，大多为店铺门户网站，功能点琐碎繁多，和朋友坚持挖了大半个月，期间朋友还请了软件测试工程师，帮忙熟悉梳理业务逻辑。期间提交了一些业务上的逻辑bug，认为是系统设计上的缺陷，不过提的那些bug都被安全审查员驳回了。晚上放弃了休息，坚持挖2个小时，得到这样的结果，还是很难受的。

　 对大哥，我总是觉得愧疚，毕竟我的朋友花了钱，和我一起做事情。最后这个事情无疾而终，他也没有说什么，感谢他的包容。但是我们还是坚持了下来，当初我坚持挖了半个多月，有很多原因。挖shopify的时候，即使没挖到漏洞，我也收获了很多。

　　1.熟悉了业务逻辑

　　2.学习了一些英语知识

　　3.了解到了海外在安全上使用的技术，了解了国外的技术栈

　　4.锻炼了心态，心性

　这些对我而言，回首2022年一整年，这些都是宝贵的财富，他们使我坚韧不拔，使我变得强大。我想说人怎么看待失败，完全取决于你赋予失败什么意义。你对他的看法，赋予它的意义，决定了很多。

　合作

　　和大哥经常沟通学习，受影响最大的是他对我说的，一个人想做大做强，你需要的是合作，是人和人之间互相帮助协作。就像互联网技术，技术之间存在关联性，理论上来说技术不是单一的存在，而是多个点的连续。1+1+1效果一定是>3的。

　　挖掘海外业务，想从海外淘金，是非常枯燥和困难的一件事情，我知道一个人很难坚持，长夜漫漫，最好有个伴一起，不孤单。

　　我出自芳华绝代安全团队，是芳华绝代的创始人之一，而我们团队另一个创始人，也是漏洞挖掘技术超绝，他有一次群里提了一嘴挖国外，我就直接找他合作了，我觉得这是一次机会。我正式确认了合作伙伴。

   小试牛刀

　　我又重新选了一个h1的项目,项目地址 https://hackerone.com/semrush?type=team 一个在线可视化管理平台

　　当初挖他的想法很简单 1.报告公开比较多 2.功能点多而杂 3.可以注册，方便测试功能点

　　 这个厂商，也是非常打击自信心的一个项目，和shopify一样难挖。两个人坚持挖了一个月，共提交7份漏洞报告，有效报告为四个。总计挖了250刀！

　　可想而知，想在海外市场，赚老外的钱，是多么的困难。

　　这次的事情，虽然只收获了250刀，但是给我们带来极大的自信。即使是强如Semrush，也能挖出漏洞来，找出缺陷。

　　收益小不可怕，我们害怕长期时间的投入挖掘，得不到一个结果。

　　后面就是我不断的思考，利用我们的优势，选择适合我们的目标，指定方案。

　　那段时间我没事做，看了矛盾论，看了毛选。那时候我的热情很大，对于海外漏洞挖掘，是当作事业来做的，每晚开会复盘，写文章，写笔记。

　　这是部分记录:

　　展翅飞翔

　　很多时候，我们觉得做一件事很困难，大概率是因为思想策略出了问题，一旦找到属于自己熟悉的领域，迅速如鱼得水！

　　后面我的决策很简单，改变方法，改变策略。很多事情，其实心里没有结果，但是得尝试下，我们还年轻，我们有时间投入。

　　不停的尝试，尝试选择挖掘n个厂商，终于选择了适合我们的厂商

　　如何尝试判断一个目标是不是适合自己？我的策略是:选出3个目标，对3个目标依次进行攻击。挖掘时间:2周内

　　一个厂商，经过2周的摸索，大概就知道薄弱点如何，缺陷点在哪里。我会给我们2周时间进行摸索。大部分厂商都适用于2周定律。

　　2022年，在海外市场上总共提交了166个安全漏洞

　　有效严重的p1漏洞提交高达124个。

　　在bugcrwod上，荣获p1提交榜年度top20，bugcrowd总排行榜前100名的好成绩。

　　我想说，这个成绩是史无前例的，2023年，能不能突破我现在这个成绩，我很难给予答案。反者道之动，盛极必衰。

　　我想说现在还是比较焦虑的，在漏洞挖掘领域深耕多年，未来漏洞肯定越来越少，这是必然的。但是我们总得前行，关于未来的不确定，我们能做的就是过好当下。

　　结论:思想策略执行大过努力，思想建设大过技术。2023年，我的主题不变，try do it!! try才有可能，只有尝试才能无限可能。

　　漏洞挖掘一些心得体会:

　　年末，我还是画了一些脑图,这边也分享给大家，一些心得体会:

　　1.高赏金业务安全测试 适用于google/facebook等大厂:

　　2.业务资产难度快速评估:

　　3.攻击难度快速评估:

 　总有人问我漏洞挖掘技巧，个人觉得真正的漏洞挖洞技巧始终是心法，心理上不能认输，漏洞挖掘是一门艺术:

1.耐心一点
2.认真一点
3.仔细一点
4.贵在坚持

　　聊聊漏洞挖掘中，常遇到的一些问题

　　国外有些业务安全做的真的很好。说下自己在挖国外遇到的一些奇葩情况:

　　1.日谷歌的时候，我发现谷歌的核心业务，大多数有做参数封装混淆，一般我们常见的js，css混淆，谷歌会对参数进行半混淆，对json body进行全局的encode。

　　极大的增大了漏洞挖掘的时间成本，比如说唯一标识符uid，uid参数会被混淆为a b c d等，在你尝试理解数据包参数的时候，带来了极大的困扰，相当考验耐心。

　　2.仍然是对请求参数做处理，使用第三方安全厂商封装了原请求，所有的请求被二次转发，他不是全参数加密，而是对请求数据包进行很大的封装混淆

　　3.session_state自刷新跳转问题，间隔几分钟，不管有没有点击页面，都会原页面进行新认证，生成新的session_state，原token失效，对自动化检测非常不友好

　　4.restful api大量使用graphql查询　　

　　5.大量的使用csp用来防范xss攻击

　　6.绝大多数站点隐藏了自身特征，看不出来具体的网站结构，甚至看不出来使用到的技术

　　7.使用欺骗高仿真蜜罐系统，混淆你，让你以为是漏洞返回，其实是一个蜜罐返回结果，存在欺骗性，非常容易被欺骗。要格外注意固定返回，以及脏数据问题。

　　8.数据防重放问题，使用时间戳等

　　对于未来的看法:

　　web黑盒越来越吃力了。难度越来越大了，对渗透测试工程师极具挑战性。现在日站和过去日站不一样的地方在于，现在需要投入更多的时间，需要更多的耐心。

　　 随着微服务，未来上云，传统安全漏洞，再渐渐消失了。挖一个少一个，传统的dba都被云dba取代，很多很多，规范上云是大部分企业的宿命。

　　 服务saas化拎包入住，直接卖服务，也是以后的趋势。web安全需要转变，不断的学习了解新知识。

　　 渗透，漏洞挖掘要想做的好，一定要站得足够高和广，绝不是简单的看看站那么简单。你说你不知道微服务，网络拓扑，不懂网关这些是不行的。

　　 作为一名合格的渗透测试工程师，或者漏洞挖掘er，至少要了解这些知识

　　不需要太精通，至少要了解，以应付未来多变的技术环境，毕竟我们还年轻，还得靠技术吃饭！

　　路在脚下，莫向外求:

　  初挖src，众测的朋友，很多人总想走捷径，总是问我有没有快速挖到漏洞的技巧，我想说有的，但是那些快速的技巧，只能让你挖一些小漏洞，很难挖到大漏洞。

　  关于漏洞挖掘技巧，我准备抽空单独写一篇文章出来。对于新手，我觉得更多的是激励他们坚持下去，坚持去做，坚持做，你坚持一个月就战胜了90%的敌人。

　  附上2张图共勉:

　  此为日常burpsuite Repeater栏目测试记录框。星光不问赶路人,时光不负有心人。2023年，大家再次起航，不论结果，只争朝夕。

TRANSLATE with x

English

TRANSLATE with

COPY THE URL BELOW



Back

EMBED THE SNIPPET BELOW IN YOUR SITE



Enable collaborative features and customize widget: Bing Webmaster Portal

Back