往回看,新启程


  • FreeMarker 的最新版本 bypass SSTI
  • Weblogic 系列漏洞
  • 扫描器的开发,向朱老师请教一下 cel-go 的项目

2022.9.9 新启程

有幸被木爷指点了一番,也非常荣幸朱老师指点了我很久,真的感受到了自己的很多不足,而且差点路就走偏了。

Java 安全很多时候不只是反序列化,还有很多代码审计;还有很多很多东西。

最近一直在看反序列化,我确实感觉自己基础不错,但是确实我发现了自己代码审计这块很不好,其实当初在给师傅们培训的时候我就感受到了,自己 Java Web 确实不够 扎实,万丈高楼平地起。

  • 木爷告诉我有时候是需要结果论,而不是过程论的,确实,这个时代是看结果的。

然后要养成独立思考的习惯,注意,这个真的是独立思考。少看安服崽的文章,真的害人不浅。比如,怎么说呢?你学一个 log4j2 的漏洞,你学他,不光学,还要设想如何 bypass。

比如你知道了 fastjson 漏洞,一开始你懂了原理,后续的链子漏洞就可以从漏洞发现者的角度去思考了,并且多多思考 bypass;这真的很重要。

还有,Java 安全不光是反序列化,反序列化相对于 Java 安全,就像 SQL 注入相对于渗透测试,很好防。

多看代码审计,多多理解,静下心来,好好沉淀,安研还有一丝希望。

其他项目也就不要管了,专注于一个方向就好了,冲!!!

2022.11.6

和心理咨询师沟通了一次,感觉很多东西得到了认知,很舒服,之前一直觉得自己好像对安全不是那么有热情了,其实不是这样的。

有热情与没有热情,它们不是 0 分和 100 分的区别。

因为热情是一个很唯心主义的东西,你觉得有就是有,你觉得没有就是没有。所以可能只是热情低,但不是没有热情。

再说到爱好与工作,很多人说把爱好变成饭碗之后,会变得不热情。但其实还有那么多人找工作是为了养家糊口,自己作者自己热爱的事情难道不是一种热爱吗?

解决了困扰了我很久的心理问题。


文章作者: Drun1baby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Drun1baby !
评论
  目录