- FreeMarker 的最新版本 bypass SSTI
- Weblogic 系列漏洞
- 扫描器的开发,向朱老师请教一下 cel-go 的项目
2022.9.9 新启程
有幸被木爷指点了一番,也非常荣幸朱老师指点了我很久,真的感受到了自己的很多不足,而且差点路就走偏了。
Java 安全很多时候不只是反序列化,还有很多代码审计;还有很多很多东西。
最近一直在看反序列化,我确实感觉自己基础不错,但是确实我发现了自己代码审计这块很不好,其实当初在给师傅们培训的时候我就感受到了,自己 Java Web 确实不够 扎实,万丈高楼平地起。
- 木爷告诉我有时候是需要结果论,而不是过程论的,确实,这个时代是看结果的。
然后要养成独立思考的习惯,注意,这个真的是独立思考。少看安服崽的文章,真的害人不浅。比如,怎么说呢?你学一个 log4j2 的漏洞,你学他,不光学,还要设想如何 bypass。
比如你知道了 fastjson 漏洞,一开始你懂了原理,后续的链子漏洞就可以从漏洞发现者的角度去思考了,并且多多思考 bypass;这真的很重要。
还有,Java 安全不光是反序列化,反序列化相对于 Java 安全,就像 SQL 注入相对于渗透测试,很好防。
多看代码审计,多多理解,静下心来,好好沉淀,安研还有一丝希望。
其他项目也就不要管了,专注于一个方向就好了,冲!!!
2022.11.6
和心理咨询师沟通了一次,感觉很多东西得到了认知,很舒服,之前一直觉得自己好像对安全不是那么有热情了,其实不是这样的。
有热情与没有热情,它们不是 0 分和 100 分的区别。
因为热情是一个很唯心主义的东西,你觉得有就是有,你觉得没有就是没有。所以可能只是热情低,但不是没有热情。
再说到爱好与工作,很多人说把爱好变成饭碗之后,会变得不热情。但其实还有那么多人找工作是为了养家糊口,自己作者自己热爱的事情难道不是一种热爱吗?
解决了困扰了我很久的心理问题。
