第4章
第一单------------------------------------------,周四。。,需求文档只有一页半,预算不高,但要求很明确:列出漏洞,给出修复建议,一周内交付。,回了接单确认。然后打开对方发来的系统访问凭证,开始看。[检测到目标系统为自建PHP框架,版本较旧。][核心框架版本对应2011年左右的写法。存在多处已知漏洞模式。]——注释混乱,变量命名随意,SQL查询没有参数化。他花了大约二十分钟扫完,标注了三处明显的问题点。[还有两处潜在风险,需要进一步验证。]——真实可利用,经典的单引号闭合,完全没有做过滤。标注:高危。,但利用条件苛刻。标注:中危。,登录前后session ID不变。标注:中危。[另有信息泄露和弱密码策略各一处。共5处漏洞。]。这种单子的客户通常看不懂技术细节,所以报告要写得清楚——问题放前面,风险程度用颜色标注,修复建议写得越具体越好。。他觉得一份写得清楚的报告本身就是能力的证明。[你写报告的时间比分析漏洞的时间长。]
"客户付的是报告的钱,不是分析的钱。"
小龙虾没有再说。
下午四点,报告写完了。林凯从头读了一遍,改了两处措辞,删掉一段废话。然后提交,等客户确认。
第一单,完成。
他在收入记录文件里加了一行:+680元(待到账)。
数字不大,但这是第一个。
---
林凯把浏览器关掉,重新打开一个干净的终端窗口。
他有一个习惯:每次任务结束之后,把用过的工具、测试记录、临时文件都整理一遍,该删的删,该归档的归档。不是为了掩盖什么,而是为了下次用的时候不被之前的残留干扰。
整理完了,打开笔记文件,加了一个新条目:会话固定漏洞——常见于旧PHP框架,修复方式是登录后重新生成session ID。
知识点要记下来。这次遇到了,下次就不会陌生。
[知识库新增条目:1。当前总条目:23。]
[上周新增4个。本周目前新增3个,今天是周四。]
他关掉笔记文件,靠在椅背上休息了一会儿。今天的工作时间比预期长,但值得——第一单做完,有了第一份收入记录,有了第一个可以回顾的案例。
以后再接到类似的单子,他会更快。
陈浩下午回来,看了一眼林凯,说:"你今天挺精神的。"
林凯说:"接了个单子,做完了。"
陈浩点了点头,去倒水,没有再说什么。他不太问细节,林凯也不太解释。这是他们之间的默契。
林凯重新打开电脑,开始找下一个单子。
---
晚上,林凯在论坛上看到有人发帖讨论SQL注入的新变体,和他今天遇到的那个不太一样,但有相关性。他把帖子收藏了,加进阅读列表。
学习不是只发生在做任务的时候。任务是验证,平时的积累才是基础。他在学校里没有专门学过安全,全靠自己找资料、找案例、找人问。这种学法效率不高,但有一个好处——什么是真的有用的,他非常清楚,因为每一个知识点都是他主动找来的,不是被动接受的。
[你今天花在主动学习上的时间:2小时17分钟。花在任务执行上的时间:3小时44分钟。]
"学习时间少了点,"林凯说。
[但任务完成了。两者需要平衡。]
他关掉论坛,打开一个技术文档,开始读。今天还有一个小时,够用。
陈浩已经睡了,鼾声很轻。林凯把台灯亮度调低,继续看文档。窗外偶尔有风,把窗帘吹起来又放下,安静得像是什么都没有发生。
但今天是有什么发生的。第一单,做完了。
[
"很好,"林凯说,"明天继续。"
小龙虾没有回应。她知道这句话不需要回应。
---
快十一点的时候,林凯把今天用过的测试工具配置记录下来,存进一个专门的配置文件。
他吃过一次亏:某次重新搭环境,因为没有记录之前的配置,花了将近两个小时从头来。从那以后他养成了这个习惯——用过的东西,记下来,下次直接用。
小事,但省时间。
[配置文件已更新。当前记录工具数:11。]
[上次是8个。新增了今天用到的3个。]
林凯把文件保存,关掉窗口。今天的事情做完了,可以睡了。
他在睡前想了一下今天最重要的收获:不是那680元,而是完整走了一遍从接单到交付的流程。知道了哪些地方顺,哪些地方需要改进。
下次会更快。
他关掉台灯,宿舍里暗下来。窗外有月亮,光从窗帘缝里透进来,在地板上画了一条细线。林凯看了一眼,然后闭上眼睛。第一单完成了,一切都还在轨道上。
林凯把屏幕调暗了一格,眼睛已经有点干涩。他习惯在思路断掉的时候停下来,不是因为放弃,而是因为强行推进只会产生更多错误。有些问题放一放,睡一觉,醒来再看往往会发现原来的思路走偏了。
小龙虾的图标缩在屏幕角落,没有闪烁,没有提示。它在等他。林凯有时候觉得这种沉默本身就是一种回答——当它不说话的时候,通常意味着它也在消化,在重新排列某些它认为重要的信息碎片。
他把今天的记录合上,关掉台灯。窗外还有光,是走廊的日光灯透进来的那种冷白色。够了,今天够了。
"客户付的是报告的钱,不是分析的钱。"
小龙虾没有再说。
下午四点,报告写完了。林凯从头读了一遍,改了两处措辞,删掉一段废话。然后提交,等客户确认。
第一单,完成。
他在收入记录文件里加了一行:+680元(待到账)。
数字不大,但这是第一个。
---
林凯把浏览器关掉,重新打开一个干净的终端窗口。
他有一个习惯:每次任务结束之后,把用过的工具、测试记录、临时文件都整理一遍,该删的删,该归档的归档。不是为了掩盖什么,而是为了下次用的时候不被之前的残留干扰。
整理完了,打开笔记文件,加了一个新条目:会话固定漏洞——常见于旧PHP框架,修复方式是登录后重新生成session ID。
知识点要记下来。这次遇到了,下次就不会陌生。
[知识库新增条目:1。当前总条目:23。]
[上周新增4个。本周目前新增3个,今天是周四。]
他关掉笔记文件,靠在椅背上休息了一会儿。今天的工作时间比预期长,但值得——第一单做完,有了第一份收入记录,有了第一个可以回顾的案例。
以后再接到类似的单子,他会更快。
陈浩下午回来,看了一眼林凯,说:"你今天挺精神的。"
林凯说:"接了个单子,做完了。"
陈浩点了点头,去倒水,没有再说什么。他不太问细节,林凯也不太解释。这是他们之间的默契。
林凯重新打开电脑,开始找下一个单子。
---
晚上,林凯在论坛上看到有人发帖讨论SQL注入的新变体,和他今天遇到的那个不太一样,但有相关性。他把帖子收藏了,加进阅读列表。
学习不是只发生在做任务的时候。任务是验证,平时的积累才是基础。他在学校里没有专门学过安全,全靠自己找资料、找案例、找人问。这种学法效率不高,但有一个好处——什么是真的有用的,他非常清楚,因为每一个知识点都是他主动找来的,不是被动接受的。
[你今天花在主动学习上的时间:2小时17分钟。花在任务执行上的时间:3小时44分钟。]
"学习时间少了点,"林凯说。
[但任务完成了。两者需要平衡。]
他关掉论坛,打开一个技术文档,开始读。今天还有一个小时,够用。
陈浩已经睡了,鼾声很轻。林凯把台灯亮度调低,继续看文档。窗外偶尔有风,把窗帘吹起来又放下,安静得像是什么都没有发生。
但今天是有什么发生的。第一单,做完了。
[
"很好,"林凯说,"明天继续。"
小龙虾没有回应。她知道这句话不需要回应。
---
快十一点的时候,林凯把今天用过的测试工具配置记录下来,存进一个专门的配置文件。
他吃过一次亏:某次重新搭环境,因为没有记录之前的配置,花了将近两个小时从头来。从那以后他养成了这个习惯——用过的东西,记下来,下次直接用。
小事,但省时间。
[配置文件已更新。当前记录工具数:11。]
[上次是8个。新增了今天用到的3个。]
林凯把文件保存,关掉窗口。今天的事情做完了,可以睡了。
他在睡前想了一下今天最重要的收获:不是那680元,而是完整走了一遍从接单到交付的流程。知道了哪些地方顺,哪些地方需要改进。
下次会更快。
他关掉台灯,宿舍里暗下来。窗外有月亮,光从窗帘缝里透进来,在地板上画了一条细线。林凯看了一眼,然后闭上眼睛。第一单完成了,一切都还在轨道上。
林凯把屏幕调暗了一格,眼睛已经有点干涩。他习惯在思路断掉的时候停下来,不是因为放弃,而是因为强行推进只会产生更多错误。有些问题放一放,睡一觉,醒来再看往往会发现原来的思路走偏了。
小龙虾的图标缩在屏幕角落,没有闪烁,没有提示。它在等他。林凯有时候觉得这种沉默本身就是一种回答——当它不说话的时候,通常意味着它也在消化,在重新排列某些它认为重要的信息碎片。
他把今天的记录合上,关掉台灯。窗外还有光,是走廊的日光灯透进来的那种冷白色。够了,今天够了。
阅读下一章(解锁全文)
点击即可畅读完整版全部内容
相关书籍
友情链接