故事的开头要从一个让我久不能释怀的事情讲起。
今天工作摸鱼刷到了黑哥的朋友圈,今天的暗网情报,是这样的一条:
一开始以为黑哥看到了什么有意思的新鲜东西,点开暗情报一看,各种“三要素、二要素”
突然感觉很怪,因为在很早以前的工作中,曾经开发过一个简陋的暗网爬虫,这个 “要素” 的关键词应该很常见了;做过实名认证的开发人员也应该比较熟悉常见的二要素、三要素、四要素认证接口,很多服务商提供这样的云服务来方便一些合规管控。难道说这个“要素”是指代了其他的东西吗?
于是我急忙重新回了一下曾经关注的市场,很容易的找到了这条记录,发现:
结果就是寻常中接触到的要素的概念......这不由得让我心情开始复杂起来。
加黑哥好友是两年前的一篇 harbor
漏洞的文章,当时被黑哥教育到其中 php exec
的类比不够正确、写文章不带引用链接、“不善于和老一辈沟通的小辈” 等等坏毛病,就此之后还特意写了个插件自动在博客的结尾生成引用链接的后缀、特意去重新学习了一下php exec
相关的发展和加固历史,我对黑哥的尊敬和感激更加进了一步;但是由于各种原因,很可惜一直没有机会能够见面认识一下,当然,不知道如何和传说级别的人物直接沟通的毛病也没改好。
继续这个故事,我又不死心尝试的去询问几个朋友:看到暗网、二要素、三要素,猜猜看是什么。当然有一部分朋友确实没有一下子想到二要素认证这个东西,一提到了也能想起喔,确实是好像有这么个东西。
“说不定黑哥只是在朋友圈幽默一下,让更多的人关注数据泄露的严重性”。我这么安慰自己,是不是互联网钓鱼,最终也没敢直接问出口。
但是不知道是什么一直让我耿耿于怀。因为如果你尝试过访问几次中文交易市场,自然而然的会见到这个关键词,更何况如上图只要点开了条目就清晰明了的数据、众多云厂家的服务接口,再不济AI的时代,人人都在宣传的智能时代,一个简单的问题会有很清晰精准的答案,堪比”知网“的概念难以想象会被认定为“黑话”......
朋友说我有点大题小作。我也不知道该如何描述我的心情和想法,让我半夜凌晨两三点钟睡不着还是斗胆写下了这篇文章。也许让我们聊聊我我在安全这条路上的短暂经历,能更好的表达这件事对我的冲击。
为什么在小插曲中,我一直称黑哥为”传说级人物”?在我刚接触安全时,那还是阿D明小子的时代,360教主和黑哥、道哥这种在那个 QQ 农场还在盛行、自媒体还不是很发达的时代,都是只能在各种黑客书籍中读到人物,或者是印在作者首页的名字。
那也是我最早开始接触安全,纯粹就是一个字,觉得帅,我能你不能的那种优越感刺激着一颗幼小无知的心灵走上这条不归路。
那时只会双击的我接触到的第一个真正意义称得上漏洞的,也是让我印象最深刻的,QQ 空间的 CSRF 漏洞:点击一个链接,你的 QQ 空间的名字、主页等等信息都会被改成了:“hacked by xxxxxx"。
当时并不知道这些概念,只知道我一启动,把地址栏的信息复制粘贴一下,再点击开始运行,我就能像电影中的大神一样刷刷刷地开始攻击;除此之外,就是混各种论坛、贴吧;拿迫击炮和小伙伴半夜一起对学校恶作剧。现在回想起来像是童年一样的时光。
我的正式安全启程还是要从 ctf 开始算起。从大学开始参加 ctf 竞赛后,我才逐渐的了解了整个安全的行业面貌、安全的市场、安全的工作等等,逐渐的对安全相关的各个岗位开始有了雏形的认知,同时也开始零散的学起了星星点点的安全相关知识。
想起打比赛的时候,认识到了很多很多的同届的朋友,有的时候盯着一个出题人给出的 php 代码硬是想不出哪里有问题,最后发现出题人放错了代码,5元暴打出题人;或者是一起在当年的安全实验吧、i春秋、南邮CTF、xctf、赵总的suctf 等等平台刷题梦想着屠榜,然后被题目教育的灰溜溜的回去学习基础......
那时候的比赛还是先线上赛然后再线下 awd,awd 的基础设施还异常的简陋,印象最深的是一次比赛开始了30分钟,我们组的设备由于网络原因硬是无法访问的通场内其他机器,只能靠着最后的30分钟冲刺;想起来那时候连怎么做防护都没有什么意识,就知道打开目录看看代码,写个自动化 py 脚本开始攻击的日子,更多的时候线下赛就是一个大型的面基现场,以及疯狂的出表情包的时候。
还记得我那时候的刷屏,不知道打比赛的还有没有人能记得这几个表情包了。
郁离歌!郁离歌!.gif (图已丢失自行脑补)
img
回想起来,当年的这一批 id,现在还在从事着安全工作的也不知道还有几个了......
然后挖坟到师傅的知乎,泪崩了。
真正开始从事安全工作,是第一份安服实习,那是一个连 AWVS 都需要有师傅教的年代,也是真正开始安全学习的开始。
从最开始的安服,到跟进安全项目,再到第一届的护网,我很庆幸在这个阶段遇到了一批极大程度帮助了我的朋友们,能让我从一开始的小菜鸡能够一步一步的做到了一个踩到了门槛的安全人。
在这个阶段也遇到很多趣事,是在乙方的朋友可能会遇到的,比如实习生被当作 ”安全专家“ 去驻场,但是由于年纪看着就很小,被驻场公司的师傅”羞辱“:”你知道 linux ls 命令是干什么用的吗?“;比如周五的下午,我们的经理会带着我们去打打球(从那以后再也没那么正式完整的运动过了);比如在我们的合租的出租屋,一帮朋友们可以聚在一起吃一顿火锅,喝着领导从地里挖出来的黄酒。
那时候快乐真的很简单,简单的转瞬即逝。
离开实习后,我终于能够合格的使用 burp、熟练的启动 sqlmap 、在莫名的网络环境一顿 nmap 输出了,但是安服长期接触的都是陈年的架构技术,ASP、.NET 等还停留在脸上的时代的眼泪,已经不能满足这个阶段的好奇心了。我想要到一线的互联网厂商看看,安全到底是个什么样的。
由此,我开起了我的第一份正式工作,在甲方做一名安全建设的工程师。
我的职业生涯中总是遇到了很多好老师、好伙伴,我很感激,也很庆幸;在互联网公司我开始有机会正式的尝试 coding ,写一些能够作为交付的代码而不是安服只有自己用的起来的工具,开始学习语法,设计项目,做白盒和黑盒扫描器,解决业务问题;当然也有作为甲方 baba 的时候,爽爽的白嫖试用各种产品,提各种需求。
然而在甲方的时间越长,我越发现一些无力感:每天处理的最多的是逻辑漏洞、业务风险、薅羊毛、数据泄露。好似我实习阶段掌握的那些,逐步已经不够我在这个环境下使上力气了;再怎么做,由于业务的特殊属性,我还是没办法阻止数据的被窃;面对各种微服务的架构,单纯的看业务的 java crud 代码已经没有任何的意义,从防护的期望角度来讲,只能从db的底层查询做好设计和支持,才有可能做到每一条数据有据可查,然而在甲方推进这种恐怖的业务是十分困难的等等。。。
甲方的旅程不能称之为一帆风顺,但也没有太多的磕磕绊绊;我好似到了一个海面风平浪静但海底波涛汹涌的海域,陈年的水手都知道,越是这样暴风雨前的宁静越是恐怖,于是,我听从了另一艘船的老水手,放弃了这艘远行了两年的船只,跳到了另一艘向着更远处驶去的小帆。
重回乙方让我真的能够接触到了更多的安全属性的一线世界:读 P牛 N 年前的代码,像是在听高中的老师重新回到了课堂给我上一课;看到了曾经在甲方白嫖试用的众多产品,到底是如何一行一行的代码积累成的;曾经黑色的防护盾,到底是怎样的逻辑将我曾经的脚本拦截在外的。
也是从这个阶段,我开始追求问题的本质。”细节决定成败”,每一行的代码追求询问解决了什么问题?一个漏洞形成的原因最关键的函数是什么?同时开始尝试着修补我那摇摇欲坠的计算机基础底座,开始尝试思考和研究我对安全的理解,自己去思考问题和解决问题的方法论。
还是这个时期,我也开始真正的逐渐接触开源社区,认识了更多的小伙伴,发现了更多有意思的思考和想法,这世界真大,原来还有这么多人在做着很多有意思的事情,很多我所不了解的事情。
五彩斑斓的世界就像是一个潘多拉的魔盒,打开了种种不可思议的东西,同时也带来了焦虑:就好像是仰着头爬山,到了一个小亭子后才发现,哇,山上面还有这么远。
回想了这么多,就如 ctf 时期所说的,那些曾经认识的 id,已经逐步渐渐的淡出了消息的获取范围。我不知道直到今年,还在从事着安全行业的还有多少。仿佛都和那些历史一样,逐步的沉没在了长河中。
迄今为止,我依旧没有达到那些传说级人物的高度,我也不知道还能坚持多久。我还没有拿到曾经期望的认证,没有拿到一个令我满意的 cve,没有能够 hack 到像从小看到大的故事中,道哥直接关服务器的传说。
令人恐惧的是,随着时间的推移,慢慢的这些热情好像也无所谓了。
再也没有当年看到赛博忍者的反制 goby 文章时候的激动人心,也没了提交 src 等待通过的热情,偶尔拉下来一些cms 代码,跟进后发现的一些问题也没有了第一个通用型漏洞的那种成就。剩下的就只有,这是什么,这个东西能做什么,有什么用,结束。
麻木,只有重复的麻木,然后是期望更好的焦虑,期望寻求更强烈刺激的那种无力。搞得安全好像什么禁品上瘾的东西一样。
寻不到更强烈的刺激,又看不到山顶的路,看到的只有 “xxx 也开始卖课了”、”xxx 又要裁员了“、”xxx 离职上岸了“ ......好像最后的终点都是殊途同归。
回到故事的开头,我不知道这样的讲述能否让你感受到这个小插曲对我的震惊感;就好像压断骆驼的一跟稻草、抽垮整个积木的一根木棍,曾经的知识与信仰好似都是一些站不住脚的东西了,而你又无法改变这滚动的大齿轮。都这样了,就这样吧,还能怎样呢,算了吧。
到底是如何从 "如果活着是为了做安全" 变成了 "如果做安全只是为了活着", 我想不明白,也不想明白了。
又担心好多刚入行的小伙伴看到了我的态度被感染打击到了,所以还是来一个心灵鸡汤高兴的结尾。
也许暂时的沉默都是为了日后更好的遇见。
就像肖申克的救赎说的,希望是个好东西,也许是最好的,好东西是不会消亡的。
Hope is a good thing and maybe the best of things . And no good thing ever dies.
如果真感觉扛不住了,就看看上面 2019 年的时候,知乎截图里师傅说的第一个词是什么。
狗日子没完没了,但狗日子总会到头的。
every dog has his day.