答:还好吧,开始去尝试新的东西,能够有充足的时间去思考自己想要做事情,并亲自去实践。
刚入职时,正值几个重要的应用系统要上线,这不正是我擅长的领域嘛,通过黑盒渗透发现了很多高危漏洞,
比如:
可以查看任何人薪资,想看谁就看谁的,可以细到月份、社保、公积金的那种;
可以重置任何人的域账号密码,又因为域账号绑定了个人PC、邮箱、OA等常用办公系统,你可以重置任何人的域账号,然后登录他常用的办公系统。
.........
通过几个典型的漏洞案例,来证明下自己的技术能力,这还是很有必要的,可以快速的让别人了解你擅长的领域是什么。
刚入职时,有个安全服务的项目,角色转换过后,你可能也会遇到这样的场景:
听着某乙方销售对着你,用着不太专业的术语跟我解释什么是渗透测试,什么是应急响应,莫名地喜感。
一个售后出身的安服项目经理,说起渗透,分分钟就能把你网站搞瘫。你跟安服项目经理说,之前你就是做安服的,安服这一套你也很熟,然后安服项目经理可能没听懂,以为你之前也是干售后,继续跟你吹的天花乱坠。
看着提交上来的漏洞,一个参数位置有两个高危漏洞,XSS跨站脚本和链接注入,同一个原理出来的,好吧。
最后,你实在忍不住,告诉安服项目经理,你之前就是做渗透测试的,而且技术好像还可以的那种,
看着他迟疑了好几秒才反应过来的表情,终于踏踏实实做项目去了。
未知攻焉知防,通过自身丰富的安全攻防经验,来帮助企业解决一些安全问题。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
