# weekly —> monthly
连续出差了一个月,996 了三周,工作强度之高让我不能定期更新博客😔
强度高,但确实也学得更多。就像是你要学习代码审计,就得先去学代码一样,你要测试一个目标,那就要去研究它的组成结构和运作方式,渗透视野才能更宽阔。
同时我也发现自己越来越不喜欢说废话,特别是技术上众人皆知的东西,但无奈 leader 就喜欢听这些玩意,或许我应该学着多讲些话,否则容易丢失话语权。
# try hard
”try hard" ,可以理解为努力尝试,尽力而为。它更注重强调 “尽力”,即使结果不确定,仍全力以赴的态度。
个人认为,在安全工作中,特别是对目标的渗透测试,很需要这种态度,技术固然是一道分水岭,但是否能 try hard 地完成一个目标也能起到决定性意义。
渗透测试跟其他工作有些不同。随便给一个新的目标,谁也无法说能百分百能找到漏洞,拿到权限,其结果很大程度上是未知的,需要工作者不断地探测、尝试和利用。这个过程中,是否能够耐心细心地搜集了尽可能多的网络资产、是否测试了所有的功能、 是否尝试利用了所有可能存在的漏洞,能够很大程度上决定了这次工作的结果。具体点讲,是否对每个和数据库进行交互的功能点测试了注入漏洞呢?是否在输入框测试了 XSS 呢?对数据包的可控参数都探索过了吗?用尽办法绕过 CDN 了吗?内网的每台机器都仔细看过了吗?
当然,这会耗费许多时间和精力,并且极有可能造成过大的动静,聪明的工作者是应该根据目标环境的现实情况采取不同强度的渗透措施,优先利用可能存在的漏洞点,但 "try hard" 能提醒我在面对觉得措手无策的目标时,是否由于懒散、不自信或是惯性思维,没有利用所有可能有突破的点,没做到 "try hard" 就先放弃了呢。
# 南昌之行
即便这是我第一次出省,还碰上了我的生日,但经历了上次厦门跨年夜之后,我对仪式感这东西也不看重了。
南昌,对我而言和福州厦门这些大城市差不多,高楼林立,车水马龙, 看来看去还是那些,什么著名景观,网红打卡点,我一个人去也没什么意思,相比于这些钢铁森林,我更喜欢古街老巷,荒野小路,所以那次莆田骑行之旅让我很怀念 —— 行驶在大路上,每隔几百米,便会邂逅一条条小路,这些小路如同脉络一般延伸至不同的村落,每个村落入口都有一座精心修建的闽南风格牌匾,无声诉说着当地的深厚底蕴和独特风情,这种历史沉淀感和特有的情感联结十分吸引我。
坐着返程的动车,离开了这些钢铁森林后,才发觉南昌的不同。
在南昌的农村里,在这片广袤的土地上,到处都是油菜花,花丛追逐的鸟群和忙碌的蜜蜂,添了几分活力。与这些活力形成对比的,是田野里高隆的土堆,土堆非常干净,只有几捧花束在诉说着那些尘封在历史里的不为人知的过往,一同成为农村记忆里的一部分。
白瓦房,红坡屋顶,再配上大阳台,这像是南昌农村的建筑风格,南昌也的确是个多雨的城市,我来了一周,它感动至极,跟着下了一周。
南昌,希望下次我来的时候,你能给点面子,别再那么淘气。
# 其他碎片
- FOFA 的屏蔽尝试
- ChatGPT 账户接管 - 通配符配合 web 缓存欺骗漏洞
- 【大模型生成文本水印科普】水印就是把 Tokens 涂成绿色?
