八卦水区
八卦水区-棉花糖会员站

八卦水区

帖子 23互动 141关注 11
这里是一切吃瓜、瞎聊的板块,同样拒绝纯水贴
八卦水区-棉花糖会员站
评分
1分享
评分
1分享
APPSCAN扫描录制登录行为-棉花糖会员站
评分
1分享
评分
3分享
评分
2分享
评分
1分享
评分
1分享
土豆哥传奇-棉花糖会员站
cnvd证书挖掘-棉花糖会员站
热门评论
棉花糖的头像-棉花糖会员站年费会员棉花糖徽章-年度发烧元老-棉花糖会员站等级-LV5-棉花糖会员站UID:1超级版主3
有一些技巧,比如二进制,比如app旧版本信息泄露等等有些小的方向很容易刷的,太多了也没法列举,正儿八经的话还是白盒审计来的快
评分
16分享
评分
2分享
评分
1分享
热门评论
breeze的头像-棉花糖会员站年费会员breeze徽章-初出茅庐-棉花糖会员站等级-LV1-棉花糖会员站UID:19153
个人建议:这个行业很倦,需要付出大量的精力来深耕,如果你只是为了混口饭吃,那真的不合适继续,早晚会把你卷走。 如果你是因为兴趣爱好,想出人头地,那么建议你继续深耕,是真的深深深耕,必须精通某一方向,才有一线希望,要在这个圈子里当个技术明星。这个圈子卷归卷,但是卷走的是混子,不是真正顶尖的人,顶尖的人你看看谁缺那口饭,只是付出的辛苦是别人的很多倍。 其实娱乐明星也行,但这涉及到人脉圈的玩法了,技术牛马大多没这个天赋,不建议。 如果你觉得自己技术和学习能力不是特别的强,但是又想在这个圈子里混饭吃,那么我给你一个自己的想法: 1、了解广阔的知识面,不需要深耕,包括:Web渗透(top10都没问题,逻辑洞也会挖)、内网渗透(懂拿到Webshell后怎么做,提权、维权、内网信息收集、抓hash、抓各种浏览器,工具的密码,最后再知道内网重要资产、集权设备的常见利用方式和后渗透)、基础的代码审计(php、java最基础的top10审计)、基础的免杀知识(360、def、火绒的查杀机制、不同点)、再就是蓝队应急一定要会,安服必备,这些包括其他的都有很多大佬给你铺路,完全不用担心,很基础的东西,要不了很长时间就都能很熟悉了,如果连这都觉得多,趁早离开这个圈子。 2、发展自己的副业: (1)自媒体,别杠,这个真的要玩,变现方式多到你不敢想。 (2)公众号,不好评价,以前还行,能看到新鲜东西,现在。。。。 没点真的技术别玩。 (3)AI,如果你不懂或不了解现在的AI,那就洗洗睡吧,AI绝对是一个会很快就技术爆炸的点,虽然我现在吹牛逼,但我感觉这是个路,AI不止利用在写代码,解解题,利用AI进入其他行业我们也比其他人有优势,例如:AI绘图、AI声音模拟,可以进入自媒体,并且可以换装、换脸来进行社工,这些都很成熟了,再例如:AI盘面分析,AI WAF、AI 审计、你真觉得不行吗,我觉得只是你没了解到偷偷落地的应用。 (4)医疗,例如中医,未来中医走进日常生活是个趋势,谁先落地谁暴富,不信可以自己去中医院看看半夜的人群。 就举这几个例子吧,能搞的东西太多了,没事不要总是在刷抖音、玩游戏了,没啥用,到了养家的年纪你就后悔了,游戏大手子当我没说~
该帖子内容已隐藏,请登录后查看

登录后继续查看

热门评论
Hhhnee的头像-棉花糖会员站年费会员Hhhnee徽章-初出茅庐-棉花糖会员站等级-LV2-棉花糖会员站UID:742
如果你觉得没方向,说明你得换公司了,尽量找些和目前乙方公司不一样的地方。比如小甲方或者某些垂直领域的乙方。 最重要的是把自己放在新的位置上看世界,现在让你照着某个方向学,一 :你自己不会那么坚定。二:他人也不知道你的禀赋 尽量用小成本试错去不同地方待一待(在有小部分存款兜底的情况下) 乙方安服只能是跳板,至于怎么跳,跳去哪,你都得根据自己的情况自己分析。在没有目标的情况下的策略就是:先都看看。 国内大环境是不好,但是这不意味着没有轻松钱多好晋升的工作,多看看
评分
5分享
如何从脚本小子到红初-棉花糖会员站
热门评论
breeze的头像-棉花糖会员站年费会员breeze徽章-初出茅庐-棉花糖会员站等级-LV1-棉花糖会员站UID:191513
经常用不到的东西会忘记很正常,不要想着你问我什么我都会,打红队的你问他top10,很多都不如专门做渗透的,红队打多了就是套路,知识面广的问题,见得多,做得多,经验多而已!这是针对红初,那么之后想再进一步就必须学java,必须学java,必须学java,为什么?因为我们做安全的要跟进时代,什么用的多,容易出现问题,那么我们就必须学,如果后面有另一种语言代替了java,那我们又要去学新东西,就比如之前php大佬,学java是必须的,等你学好了java,其他语言基本看看也就能上手了,下一步就是学习各种集权设备的常见攻击方式以及后利用,例如:vcenter、各种堡垒机、各种oa的密码路径、解密方式等等。最后一关就是免杀,好好学c、c++,不要去学go、nim、rust这类之前说是小众容易过免杀的语言,不过是静态效果好一丢丢罢了,不过动态没用的,免杀有很多的知识点,比如进程链、PPL、etw等,最主要的是了解各个杀软的查杀机制,以前都说以攻促防、那么现在也要以防促攻,当然了再进一步又要学习汇编,算法等等等,学无止境,慢慢来吧,这个行业需要的是团队,一个人真能apt吗?我觉得不太行。
棉花糖的传奇人生-棉花糖会员站
Web新手挖不倒漏洞怎么办?-棉花糖会员站
首先我个人感觉你正儿八经学五个月,我觉得你连漏洞基础都没吃透,上来就像像大牛那样上手就出货,我觉得不现实,当然除非你是天才,你现在这个问题我的感觉是好高骛远,你个人接触到的项目渗透众测什么的,我觉得不是你这个阶段应该玩的东西,没底子还要硬磕,我当时也跟你一样想着挖src挖众测上榜,装逼,赚钱,想听别人喊一声大佬,后面一次次看别人在同一个项目里频频出洞我也羡慕不已,我就开始审视我自己,把以前丢掉的基础捡回来,把学过的东西重现过一遍,针对常见的漏洞包括框架漏洞top10逻辑漏洞等等,我都去找公网资产去复现一遍,去拿公网小野站开刷,慢慢的刷经验,挖挖公益src当你在挖的时候会认识很多框架cms这种模板站以及一些隐蔽的指纹,还有针对什么框架怎么去打这个框架这个框架容易出现什么漏洞等等,针对独立开发的小野站怎么打,看看功能点猜测会有什么漏洞针对这个功能去挖他可能出现的漏洞,我想说的是你闲着没事就去挖挖小野站,当你打的系统够多了,你可能看到某个功能点就知道这个功能点会有什么漏洞,从而跟随你的思路去进行点对点的漏洞挖掘,想学挖洞就好好的去挖,别今天学个渗透明天搞个免杀,这样我想你什么也搞不明白,更不要看别人挖src赚钱了众测赚钱了那就去学人家挖,每个人的目标不一样,如果你学渗透的意义就是挖src就是挖众测那你就去看挖src的这些思路就行了,如果你想搞渗透打红队我还是建议你多学综合渗透,学到什么程度再去干什么程度的事,当你挖洞已经得心应手了,再去挖一些赏金项目吧