【工作】

         职责:

                我司是做安全产品的,算一个乙方吧。职责当然就是安全服务攻城狮了,虽然是乙方,但是主打卖设备的,安全服务的时刻其实不多,这一年来攻城掠地的机会不多。 相比真正的乙方,真正攻城掠地的时刻要少了些。

        产品支持:

     有自己的安全产品,当然自身的安全也很重要,需要参与完成产品的代码审计和手工安全测试工作,以一些随机的Fuzz等手段的测试。

       在参与测试中共提到JIRA 10个安全漏洞,4个P1,4个P2,2个P3。不能理解?简单说就是 getshell了产品N次,有一百种bypass产品的方法等待我去发现。

        团队协作:

            1. 以漏洞论安全编码-研发内部安全培训-1次

            2. xxxWAF支持防护OWASP TOP 10 ,开源版CRSv3.0,CRS3.2以及商业版CRS规则整理,xxxWAF规则补充(满足OWASP TOP 10场景), ModSecurity规则对比测试。

            3. 辅佐QA整理review xxx威胁检测规则

            4. 公司内网安全测试,发布渗透测试报告和加固办法。 【MS17010 撸内网简直不要太爽。】

            5. 内部发布《关于SQLite远程代码执行漏洞的安全公告》【别人发现的漏洞】

            6. 内部 splunk远程命令执行漏洞,OPENSSH漏洞公告,Xorg X 服务本地提权漏洞(CVE-20180-14665调研【都是别人发现的漏洞】

            7. 整理POC中与BurpSuite相关测试原理的详细解释,帮助SE解答使用burp在POC测试中的问题。

            8. xx投标使用的漏洞靶机环境,word说明文档等;

            9. 实践出使用EW+Teamview+Proxifier的方案,满足远程渗透测试支持工作需求。

            10. xxx受ZooKeeper信息泄露漏洞影响的分析记录报告

            11. xx官网被挖矿,内网应急处理,发现是前不久的ThinkPHP 代码执行那个漏洞,被国外的僵尸网络扫描到,种了挖矿程序。


      项目支持:

        1. xx移动POC攻击现场支持日志分析,wap厅保护被薅羊毛。标准保护一周;

        2. xx移动第二次紧急支持,高级+UBB上线,整理应急处置报告;

        3. xx大学项目支持,君乐宝的渗透测试,Gameco渗透测试,货车帮现场渗透测试,神州租车APP测试的脚本和视频;

        4. xx局撞库测试,xx银行公众号-POC准备,xxx(微店)渗透测试,xx市信息中心,渗透测试工作

        5. xx电信 关于OWASP 自动化WEB威胁,RAS防护情况分析;

        6. 北京国家电网攻防演练,准备,现场支持。

        7. xx在线(河南)薅羊毛场景测试的结果

        8. xx客服安全测试,北人集团渗透测试服务;

        9. xx市国税局护网行动值守,日志实时分析,上报攻击事件。

        10. xx三所资质认证现场测试

        略。。。


    技术类:

        1.  SeleniumServer 公网分布情况分析,可以用作爬虫监控等;

        2. 【威胁情报】某打码平台支持极验全套打码服务研究;

        3. 扩展AFL模糊,实现docker自动化部署,多case并行测试。

        4. 公众号发布的《应对新型“一句话木马”Bypass WAF的防护手段》文章;

        5. 业务安全对抗动态方案demo实现,实现了基于前端JS的对抗Webdriver思路的可行性验证。

        6. 自动化安全测试框架v2.0改进,梳理测试case,其他同事接手做新的改进。【写代码能力还是不够】

        7. 尝试寻找Selenium + Webdriver的Bug,构造环境寻找对抗爬虫的思路。

        8. 探索Headless 识别,有了一些想法,实现一些场景下的验证demo,可以继续挖掘。

        9. 写了点无聊的代码,插件,总觉得自己写的东西挖不到漏洞系列。。

【生活】

        1. 交了房子,折腾了3个多月,两个年轻的上班狗完成了自己小窝的装修,过程的辛酸苦辣,装修的种种瑕疵,形成了我们人生里难忘的点滴记忆。

        2. 8月份装修做得差不多成形的时候。掏了掏腰包发现还没有憋,两个人头脑一冲动,在暑假末的时候我休了几天年假去了丽江-大理-泸沽湖浪了一下子。 

        3.  领证一年了,婚期定好了,虽然有些不顺不满意,但愿一切都向着美好的方向发展。

        4.  过去的17年,工作占了90%+,因为没有什么生活上的大事发生,18年这一年工作占了75%,装修这事真是非常耗费时间和精力的。

        5. 18年开始住的远了,住在了绕城外的郊区了,每天上班1.5h的地铁时光,立了flag 上下班的路上要拿来学习。地铁几乎全是人,看书是不可能的,最开始听些喜马拉雅的课程,后来买了极客学院的讲网络的课程。加起来坚持了2个月吧,也不知怎么的就被douyin带偏了。期间戒了毒音的,妹子要用我的手机刷,又下载回来了。。然后中毒了。。。

        6.  18年刚好写了18篇博文,2篇还是草稿。其中一篇想翻译国外红队Tips的,这个因为自己没有折腾经验翻译会显得生硬,没有写完了。另一个是mysql钓鱼的,想把这个神奇的反渗透的玩耍后,做一个记录,然后差点摊上事,就罢了。反正网上也有不差我这点水文。

        7. 今年没有挖SRC漏洞了,也不知道为什么就没有了激情,肯能是忙着装修的事吧。

        8. 接了次销售的朋友公司的外包小活,很穷的时候补足了点吃饭的钱。【希望来年有更多机会,毕竟穷的开不了锅。】


 【2019】

        明年争取顺利完成终身大事,安家立业。祝愿新的一年里自己的工作和生活有新的状态,技术有新的提升,作出一些有成就感的事。