Skay's Blog

skay.rce.la

2023流水账

要成为一个真正的安全研究者,而不是代码审计工程师。

挖洞流水账

今年其实并不太想写总结了,以前挖掘几个RCE就很开心了,今年数量上大概有二十几个,七八个不同的应用,但是并没有觉得自己技术上像前两年一样技术得到了很大提高,越来越觉得自己目前做的代码审计工作是一项体力工作,挖洞阈值渐渐增高。

因为不想技术栈太窄,年初入门了doNet审计,一个月时间大概熟悉了审计流程,尝试挖掘了一些产品,也产出了两个RCE,当时还是比较开心的,毕竟公网一搜还有小十万个应用。不过后来遇到.net的情况还是少,也没有单独去找东西来审,也就慢慢生疏了。

20、21年一年比较高强度的代码审计让我不再惧怕大型应用的代码审计,所以今年花了一个月左右时间看了zimbra,很可惜没有期待的rce,不过好歹有一个被官方评定为高危的XSS。看了几篇国外对zimbra历史漏洞的分析,感觉自己还是挖的很浅了,明年深入挖掘希望有更多的产出。

后来挖了几个自己一直跟的几个系统,也有一两个RCE吧,不过现在感觉也就是代码看久了,比别人略微熟悉些而已。

后面也看了几个比较大的东西,没有任何产出,这对漏洞挖掘来说打击其实是很大的,我只能安慰自己,反正那几个东西好几年没爆洞了,慢慢来,24年继续审。 紧接着就是忙着跳槽的事情,加上旅游开摆了两个多月…..

进入新公司行内的东西七七八八算起来,十几二十个RCE应该是有的,很开心挖了两个乙方的产品还收到了感谢信。但是这些RCE确实没带给我很大的成就感,普通的代码审计思路。

工作变动

2023之初公司被裁员的气氛笼罩,2023之末整个行业被裁员气氛笼罩。还记得年初很频繁的问领导,我会不会被被N+1,虽然说后面走的并不是我,但是整个行业的不景气也间接导致了我选择一份甲方并不容易被裁员的工作。很幸运新工作和我所擅长的很对口,产出也很被同事领导认可。终于不用再像年初一样担心自己会不会马上失业,担心自己35岁以后去当保安。

碎碎念

作为一个学习了代码审计两三年的人,也慢慢看着新同学也再一点点进步,很多人都比当时的我要努力和优秀很多。今年高强度的挖掘工作其实算起来是比较少的,躺了几个月再看着其他人的文章逐渐处在一种焦虑的状态,不过也很佩服,又压力才有东西,慢慢习惯了从事这个行业就是要终身学习。希望新的一年能摆脱刷短视频的习惯,把更多的精力重新投入到工作学习当中。 慢慢觉得自己水平还是太浅,知识面不够,基础不牢,深度也不够,浅尝辄止。 要成为一个真正的安全研究者,而不是代码审计工程师。

生活

很感谢男朋友又陪我打打闹闹度过了一年,彼此也习惯了陪伴。今年还领养了一只很可爱的小土猫,大概就是这样,希望新的一年如我所愿。