2023年年度总结

前言

这篇年度总结,我分为两个部分,一个部分是心路历程,另一个部分是经验教训。

心路历程,此起彼伏

​ 2023年这一年,是我大学四年最重要的一年,也是最充实的一年,遇到了很多很多的事情,有悲有乐,自己的心路历程只能说是此起彼伏。

​ 在年前因为各种情感上的事情,导致自己堕落了很久。年后,自己醒悟了很多,自己全身心去投入到工作中。我准备开始找实习,那个时候,我才开始学一些Java安全,只懂一些简单的CC链反序列化漏洞和Fastjson漏洞,连很基础很基础的内存马都不太懂。看着JavaSec还有很多很多没学和自己的时间越来越少,自己每天坚持从早上可以学到晚上,希望有朝一日可以把JavaSec学通。但是当我去写自己的简历的时候,我还是去找Y4要一份简历,结合自己的情况再改改。可是不幸的是,Y4帮我内推的第一家公司,在2月底面试的时候,我就直接挂了,内心砰然受到了很大的打击。虽然问了一些Rasp和内存马还是shiro的简单问题,但在我当时看来,自己对这些东西的根本原理都不太会。但是自己不甘示弱,随后自己加大学习强度,根据JavaSec不停地按板块一步一步学,一行代码一行代码的调试,理解漏洞最底层的根本原理。随后自己陆陆续续面试了白帽汇(r1面的),长亭的安研(子航哥面的)。最后在3月底拿到两家offer后,我选择了去长亭,还是非常感谢这两个师傅可以给我offer。当然在整个找实习期间,陆陆续续被很多大厂挂了(百度,美团,腾讯,阿里云,蚂蚁等等)。拿到offer后,选择进入了漏洞百出,在漏洞百出,我学到了很多前沿技术。

​ 暑假实习期间,是我这一年来能力增加得最快的时候,学会了很多实战知识,认识了很多安全圈朋友,见识了真正的攻防世界。刚来上海的时候,整个人都是匆匆忙忙的,也租了个自己不太喜欢的房子,天天上班坐公交40分钟,而且上海的消费直接高了一个档次,对于这些点自己挺难受的。当然也有自己比较快乐的时候,就比如7月初也去了杭州,去找Y4玩,跟久仰大名的许少和chen师见了面,吃了饭(不得不说,许少还是很骚的)。自己也顺利加入了狼组安全团队,认识很多师傅。随后在长亭实习的第一个月,天天复现漏洞,应急漏洞,在巩固学习JavaSec的同时,不断思考怎么和实战环境去结合,包括一些漏洞的后利用。虽然有些晚上上班到9点多,但是实习真的比自己独立学习提高得很快很快。每天最多的可能就是在钉钉和微信上跟Y4、许少、深蓝一起互动,分析分析漏洞原理,从攻防的角度去思考每一个漏洞。这不仅仅学会了东西,而且还加深我们之间的“纯洁友谊”。8月份,护网来了,乙方最忙的时候到了。我们安研的几个师傅被安排去跟几个红队师傅一起打护网。在这护网期间,亲眼看到了真正的攻防是如何操作的。作为红队,不仅仅是攻击渗透,更要防止蓝队溯源到自己,还见识了长亭红队师傅的一些骚操作,当然自己还搞了一些骚东西,挖了一些漏洞。但是我最后几发烧了,直接给人整虚脱了。护网结束后,直接北京飞去杭州,去找Y4。有幸可以蹭到徐师请我们吃的羊腿,在此特别感谢。然后就是Y4又帮我改了改简历,内推了阿里云(可惜的是泡了两个月,没有任何面试的消息)。

​ 9月份,正是秋招的黄金时期,也是我在长亭实习的最后一个月。回到上海后,就听同事说,今年安研都没有hc。我跟一起实习的朋友,真的苦不堪言,想起熬夜帮长亭打护网,结果不让我们转正,这一点是真的很难受。没有办法,只有赶上末班车疯狂海投,自己也投了上百份简历。这个月也面了很多次试。具体情况的话,字节美团(挂了),理想汽车(过了),百度不让我面试(理由是实习的时候二面挂了,还需要沉淀,感叹),淘天钉钉面了一面,然后泡池子。其他的像阿里云,bilibili,滴滴都毫无音讯。身边都传来了很多关于今年秋招形势的负面消息,四个字评价一片堪忧。我到处找师傅帮我内推,基本就是没有hc或者就是学历不够。后面10月也没有什么面试了,只有一个华子,自己也在不断投,不断放低要求寻找机会,国企也没有放过。11月,华子也面完了,泡池子ing。面完华子后,在等理想汽车和华子的offer。11月末,可能上天比较眷顾我,淘天给我打电话让我继续面,自己也顺利的拿到offer了,秋招也到此结束了,真心感谢淘天的四斤师傅可以给我这个机会。

经验教训,受益匪浅

​ 2023年,我基本都是围绕找实习,实习,秋招去安排自己每天的生活的。

​ 首先我最想讨论的就是一些关于投简历和面试的问题。在今年的秋招就业形势下,如果你想可以有个面试机会,基本都是靠认识的朋友给个内推啥的,这一点不管是社招还是校招,我觉得都是很有必要的。然后对于面试的问题,不同的人有不同的风格,我这儿只说说我自己的情况,希望可以对大家有用。对于我来说,基本在面试的时候,喜欢把自己的优势,比如挖了哪些0day漏洞,还有参加过国家护网担任红队,两段实习经历去展开讲解,这种在校招生中是最能提高自己的竞争力的。然后因为安全的东西很多,我就根据我的技术栈和项目实习经历去思考,假如我作为面试官,我想问哪些常见的问题呢。对于这些我能想到的问题,我就把它们总结好,写下来,面试之间花1个小时再看看。然后如果问到一些不熟悉的问题,我就会尽可能去把面试官引入到自己擅长的领域去。总的来说,就是想法设法地去站在面试官的角度下去思考问题,这样面试通过率大大提高。

​ 然后就是自己平时学习的过程中的一些经验教训。之前的话,学一些简单的基础,更多的就是在先知社区这些论坛上寻找博客去学习。但是后面发现这些平台上的很多内容都是重复的,无法第一时间去获取到最新漏洞的分析。所以,漏洞百出,赛博回忆录,代码审计,攻防二象性,Java安全Share这几个知识星球的东西,含金量很高,很多根本都不会在安全论坛出现。这不仅仅可以让我第一时间学到一些漏洞的复现,同时还可以学到很多先进的技术。然后作为一个安研人,自己在搭建环境复现1day漏洞时,不仅仅明白漏洞最底层的原理,更多的是会站在一个攻防的角度去思考问题,比如这个漏洞出现的原因是什么,如果防御怎么防御呢,那防御了又怎么绕过呢。当然一些后利用,一键脚本,怎么打内存马,回显payload等等,都是需要思考的。只有这样,在遇到不同的系统不同的环境下,才能很快速地为红队师傅服务。在这下半年来,复现很多很多的漏洞了,可能当你复现漏洞到一定程度时,就会感受到很多漏洞有相同之处。比如你是专门做代码审计的,你把某些相同类型的漏洞或者同一系统的漏洞进化史都总结出来,这对你的挖掘漏洞能力提高帮助是很大的。

总结

总的来说,在这2023年过得并不是很一帆风顺,只要你不要放弃,努力奋斗,就一定可以拿到自己期待的东西。借此文章,最感谢就是Y4,帮助了我很多,生活和学习兼并,同时也感谢这一路上来鼓励我的师傅,认可我的师傅,帮助我的师傅。希望大家跨年快乐,2024年一帆风顺。

2023年年度总结
http://example.com/年度总结/
Autor
Z3eyOnd
Publicado el
December 29, 2023
Licencia bajo