大四下学期,四月份,距离毕业还有两三月。就如一个考研友人说的一样,现在到了合理怀念的时候,没有OFFER的压力、没有考研的压力,这时候的感怀也显得合情合理。
前文:寻不到的领域
大一,刚进校园。进入大学总有新生交流会之类的,当时去了一次新老师交流会,出门就问一个师兄“学院里有没有什么黑客相关的呢” “没听说过”。再到后来,在网上摸索,什么是黑客,什么是安全,木马、病毒、注入,这些是什么。当初,也只是满怀热情与憧憬。
发现一个叫乌云的网站,里面的东西都看不懂,当时觉得,要是大四毕业的时候,能够拿到一个账号,那是多么厉害的事情;有一天发现网上多出来一个叫i春秋的网站,马上注册了账号,我想我是第一批注册的用户吧,那时候的课程都还是全免费的;再到后来,在一个做开发的工作室里,问师兄,“你们知不知道sql注入是什么呢,能不能在这里学到呢” “不知道” 于是最后还是没有去。
大一,就是在一团迷雾里瞎转悠,却看不到一点灯光吧。
大二,遇到两个研二的师兄,攻防方向的,他们要组实验室,于是很凑巧的加了进去。但不幸的是,由于某些原因,教的不多,基本处于放羊状态,但还是感谢他们让我一只脚迈入这扇门。大二上学期,了解安全,大二下学期,按要求学python。学完一学期,发现没什么用。
不过值得说的是,在下学期刚开始的时候,费尽心思挖了一个漏洞,拿到了乌云账号,说不清当时下午在上课、收到邀请码邮件时的激动,“要什么ID呢” “要不要逃课呢” 。最后就叫了这个名了,因为不黑不白是灰,加上名字的一个字母,就是huim了。如果再来一次,要选一个天线 之类的屌炸天的、重复率低的名字。
大三前的那个暑假,思来想去,学完python干不了什么,于是去看了 kali linux渗透测试魔鬼训练营,这是实战的,或许就是我想要的吧。但是现在看来,这里偏向主机渗透,而且当时也看不精。
大三了,发现一个小伙伴居然知道会手注,这是什么东西,原来注入的原理是这样子的,原来我不会一点原理,原来要学原理啊!于是恍然大悟,开始看绿皮的sql、红皮的xss,用了一个学期的时间,总算学得差不多了。但waf当道,技能树总是空落落的样子。就这样上学期过完了。
这段时间,就是迷雾里有点光,但还是完全摸不清吧,走的是我自己猜测的路线。
不管别人放弃安全了没,转为开发运维了没,都会走下去,没有路,就走出来。
正文START
大三下学期,还在迷迷糊糊的学车,虽然知道很快就要实习,开始找工作,但没有想到那么快。
开学,风声就变成了写简历、找实习,开始接触招聘会。在招聘会场上,寥寥几家有安全相关的岗位;而算算这一届,安全的也只有两三个人;在网上寻找实习,搜索广东的安全相关结果居然为零。多么可怕的事情,虽然一开始不是很接受,但是现实就是如此,很大几率要出省。
那时候,更大的想法是想看看业内,看看安全圈子的人,看看安全到底做什么,看看到底需要学什么,好想有个人来指路,这片未知的区域。
三月初,在一个安全群里,听到有人招渗透,于是私聊,给简历,约好面试的时间,在深圳。
那是第一次一个人去深圳。一家和政府有合作的公司,做的渗透主要为对国外一些XX网站的入侵。也终于看到了有水平比我高的人,可以指导指导了。但后来了解到,是因为他要离开去往某数字攻防实验室,而他是这里唯一的渗透测试工程师,所以他走后需要有人顶替,这才有了这次招聘。
出于很多原因,到一个陌生城市一个人实习的恐惧,进程快到出乎掌控结果的害怕,在同学还在上课的时候提前离开学校的不安,又处于一个没人带的环境的失望,当晚连连拒绝BOSS的留人邀请(出资酒店费用直到租到房子为止)跑回广州,第二天回拨电话委婉拒绝。当时真的很年轻,不知道税前税后是什么,不知道工资多少适宜,不知道在外地生存需要做什么。另一点是很对不起那个兄弟,我还记得他的名字,让他白高兴了一场;而且这样子相当于是他作了内推,人情上也过意不去;同时耽搁了他离职、交接、去某数字的时间。圈子里的,有机会再相遇吧。
投了腾讯,腾讯没收,但是把我的简历推给了华为。对鹅厂真的特别有好感,校招面试态度很好,而且很仁道也很珍惜校招生。
参加了360的星计划,17年的星计划是i春秋承办的,大致是一些学习的计划,主要三个方向:漏洞原理 PHP代码审计、WEB安全(偏向实战的各方面)以及python。谢谢,这一次打开了一扇大门,让我明白原来要代码审计与漏洞原理那么重要,也沉下心来看法师的代码审计;用了一周的时间看完了,发现开发这块才是根基,于是又买了PHP的书,早9晚11地、十天看完了四百多页的PHP,对这门语言的大致构架有个了解。挑了几个CMS做了审计,挖了几个洞,微不足道的SQL 与 XSS,但还是很欣喜。大概一个月,到了四五月,漏洞原理这块的知识面由原本的零零散散,到完整体系地覆盖常见漏洞。这时候迫不及待地想验证自己的学习路线以及知道业界安全的职务,究竟做什么的。
五月多,简历给师兄看了,师兄表示我的简历写的很差,而我也觉得简历与水平很不符合,体现不出个人水平,这是一个点,修改了简历,之后投了一次就去了杭州的安全公司。
7.15>
安全公司里也有分各种部门,所在的是大数据部门,一个满是算法人才的团队,就是团队中缺少安全方向的人,或许当时只有我一个呢。去的时候很紧急,离一个模型的deadline只剩下一半时间了,而模型需要的环境还没人做得出来(木马环境)。第二天安顿好后,就开始了木马环境的搭建,之后换用kali linux windows的多种远控木马,终于得到了满意的数据,同时学习了木马的相关原理,看了一些源码,终于协助做好了这个模型。
这里主要是一个前辈要去国外留学,所以需要交接,也需要培养自己的安全人员。所以之后接手了前辈的多种模型,与各种环境,接触到了大数据分析这块的方方面面,从环境到算法到各种规则,甚至项目人员管理。很感谢当时的leader把我当做下一任接班人一样培养。
但我其实还是想要走攻防,走真正的安全,更想去其中的安全研究院,甚至好好买了本书了解转岗的细节。后来看到leader坚决留人的态度,明白这边不会放我去别的部门,而别的部门也不一定接收,真到了转岗的时候可能要个一两年了。而且待遇差强人意。之后就去了秋招。
当时在我心里,能去安全研究院,做深入的安全原理这块的研究,待遇什么的都可以接受;而大数据算法这块始终不是想要的方向,给的前景和承诺很好却还是会离开。
11.30>
秋招之后来到了北京。
这里很舒服很好,留待下次写,只能说,生活的方式很好,周围人也很好,重要一点是看到了技术所能达到的高度,看到了明明白白的方向,下次补全。
而且人情所在,或许现在有水平拿更多OFFER,但春招补录这些时间,不会投了也不会再考虑了。
3.15>
结束了实习期。
一张前往武汉的车票,在雨中到来,在雨中离去,风大,沙多,吹得眼睛疼。
两天后,终于乘上回校、回广州的高铁。