從乙方到甲方,我在做什麼
阿新 • • 發佈:2018-12-27
答:還好吧,開始去嘗試新的東西,能夠有充足的時間去思考自己想要做事情,並親自去實踐。
剛入職時,正值幾個重要的應用系統要上線,這不正是我擅長的領域嘛,通過黑盒滲透發現了很多高危漏洞,
比如:
可以檢視任何人薪資,想看誰就看誰的,可以細到月份、社保、公積金的那種;
可以重置任何人的域賬號密碼,又因為域賬號綁定了個人PC、郵箱、OA等常用辦公系統,你可以重置任何人的域賬號,然後登入他常用的辦公系統。
.........
通過幾個典型的漏洞案例,來證明下自己的技術能力,這還是很有必要的,可以快速的讓別人瞭解你擅長的領域是什麼。
剛入職時,有個安全服務的專案,角色轉換過後,你可能也會遇到這樣的場景:
聽著某乙方銷售對著你,用著不太專業的術語跟我解釋什麼是滲透測試,什麼是應急響應,莫名地喜感。
一個售後出身的安服專案經理,說起滲透,分分鐘就能把你網站搞癱。你跟安服專案經理說,之前你就是做安服的,安服這一套你也很熟,然後安服專案經理可能沒聽懂,以為你之前也是幹售後,繼續跟你吹的天花亂墜。
看著提交上來的漏洞,一個引數位置有兩個高危漏洞,XSS跨站指令碼和連結注入,同一個原理出來的,好吧。
最後,你實在忍不住,告訴安服專案經理,你之前就是做滲透測試的,而且技術好像還可以的那種,
看著他遲疑了好幾秒才反應過來的表情,終於踏踏實實做專案去了。
未知攻焉知防,通過自身豐富的安全攻防經驗,來幫助企業解決一些安全問題。
最後
歡迎關注個人微信公眾號:Bypass--,每週原創一篇技術乾貨。
