再见2023 | 捡起六便士也不忘心中的月亮

写下这篇文章的时候,我刚来到上海入职新公司一周,回看过去一年的竞赛,工作,学习,锻炼等等生活,大体上还是差强人意,但总归有不少值得唏嘘的地方,还得从在北京的生活说起。

当时为什么会在北京呢?是去年年末时,有协会学长在群里问有没有学弟想找实习,当时除了CTF以外的经验几乎为零,也从来没有考虑过业界的安全岗都在做什么,我自己想做什么,于是在学长的内推和两轮面试后,在去年的年底出发来到了北京,做协议安全相关的项目。

当时是十二月、一月的时间,北京的冬天真的又冷又干燥,在上下班地铁扶手上的静电,大街上的凌冽的寒风,以及工作和CTF的忙碌中度过。

image-20231231113140545

在这三个月里,我发现这个协议安全的项目其实更多的还是和蓝牙/Wifi/mqtt等等IoT相关的协议漏洞挖掘沾边,更多的是挖掘设备在协议实现层面的一些溢出漏洞,而这对于一个Web选手可太难了,很多技术都是完全现学。

实习阶段倒也不是没有产出,或多或少的还是挖到了几个项目的鸡肋漏洞,只是在做项目的过程中,我发现自己其实还是不太擅长这方面的领域,觉得自己还是更适合也更想做Web安全相关的工作,于是下定决心,想要找一份和Web安全更相关的实习工作。

于是在二月底,恰好正值春招的时间段,实习岗位的hc也比较多,我开始陆续的投递实习,一边忙碌的面试,一边收拾北京租的房子准备回学校。

当时房子租的是6个月,原本以为还需要承担一个月的违约金或者找转租,但是恰好不知道为何,合租的室友(二房东)也在这个时间告诉我说他们不打算继续租了,和我沟通能否在一个节点后搬走,挺好,出发回杭州!

image-20231231115606083

年初那时候的自己水平确实非常一般,并且实战经验也挺少的。除了一些CTF的经历没有太多的渗透/挖洞等等经验,于是先是被腾讯的蓝军二面挂,而后又是被阿里的一个做白盒的组四面挂。但当时倒是没有太灰心,因为觉得自己的水平可能就是不太配的上大厂。

image-20231231114231398

时间来到三月,随着面试的进行,幸运的是总有一些面试官觉得我基础还行,可以培养,又或者觉得是对技术比较有热情,anyway,最终也还算是收到了几个满意的实习offer。

正好三月还有XCTF Final,和协会的小伙伴一起前往南京,除了比赛之外也是很好的一次线下团建。不得不吐槽XCTF Final的这两道Web题目,一道考察主从复制的漏洞,结果关键词过滤做的不全被疯狂非预期,我们和其他队伍一样很顺利的通过非预期解出了这道题。另一道考察React redux状态管理+HTTP3.0的题目,我们早早就成功用HTTP3访问到了Server但找了两个小时flag位置没找到,最终也没解出这道题,非常可惜。

image-20231231172426055

当时正值找实习的时间,于是虽然比赛结束后不少同学在南京又玩了几天,而我还是和几个朋友一起出发早些回到了学校,继续面试。因此写总结的时候对于这趟南京游甚至没什么照片可以贴一下😭。

回到学校后几经周折,在腾讯csig某实验室的威胁检测组和长亭的云安全组之间无比纠结,回头来看当时的这个选择其实大大影响了我之后会在哪和我之后会做什么。不论如何,选择无分对错,在这个人生的十字路口上,最终我还是选择了前往长亭的云安全组。

image-20231231120455056

与此同时,四月份我们还打了阿里云CTF,也是拿下了第六的成绩。

image-20231231121516782

五月份和西电@L-Team,成电@CNSS一起办了D^3 CTF 2023,和协会大家一起在别墅运维,吃喝玩乐~

image-20231231151000668

不得不说,在长亭实习的这三个月里,确实是我技术成长最多的三个月。很幸运的在这里遇到了非常好的导师@DVKunion,云安全基本可以说是从零跟着他学的🫡。主要的工作内容就是维护开源产品和商业化产品的云安全/主机安全策略,在业余也能够有时间和组里的师傅们交流技术,学习挖洞,也在这段实习经历中挖到了我的第一个CVE(非常水的洞)。

随着时间来到六月底,我偶然在一个群看到阿里有招渗透相关的暑期实习生,抱着去甲方看看不一样的安全视角的想法,于是就尝试着面试了,又一次幸运的通过了面试。

image-20231231122328792

来到阿里后,园区环境,食堂,同事们的技术水平,团队氛围等等都非常棒,在这里和大家一起打演练项目,一起去北京参加护网,一起写内部工具,一起聚餐团建等等……

image-20231231153022256

在这边的日子很开心,其实有很多内容可以写,但因为有些实习工作的内容是有保密要求的,因此也没法在在这里多说。

image-20231231123520458

在参加完两个内部项目之后,时间来到了9月中旬,也就是转正答辩的时间,也非常顺利的通过啦。

image-20231231154108473

与此同时九月也是秋招的时间了,因此陆续投递和面试了几家也在考虑范围内的公司,并且全都顺利通过了面试。

转正答辩、秋招,一顿忙碌完已经是九月底,马上就是国庆假期了。恰好在实习的过程中认识了三位同届的朋友。大家一拍即合,一趟说走就走的旅行,我们去看了阿尔山的枫树,呼伦贝尔湖的鸽子,一起骑马,看莫尔格勒湖的日落等等~

image-20231231154601365

image-20231231154547434

image-20231231154942714

image-20231231155332749

image-20231231155603415

image-20231231155530826

回到杭州后,上海又有看雪峰会和GeekCon,离得也近,就和协会朋友们一起去上海看了两天的演讲,看到了一些很有趣的议题。

image-20231231160025864

image-20231231155941227

此时已经是十月底,秋招基本都结束了,收到了不少offer,也到了做出最终选择的时候。

回看过去的两段实习经历,有甲方安全也有乙方安全的经验,有做攻击队渗透相关也有做过防守方安全策略相关的经验,可以勉强算得上是从各个视角都粗浅了解过互联网甲乙方安全。

在校读书时期一直以来的想法就是希望能够去一个甲方大厂,但来了甲方后慢慢了解到,甲方大厂的安全部门也有很多不同的业务,蓝军/紫军/黑灰产情报/SDL/入侵检测/应急响应/安全研究等等。

面临多个选择,说实话我并没有完全想清楚喜欢做什么,又或者说是其实是喜欢技术,所以觉得只要有技术挑战的工作内容都感兴趣。当然影响选择一份工作的因素也不止自身和团队的工作内容,Base地点,薪资甚至是谁的offer先来,你先和谁承诺了确定会去,各种各样的因素。

总之最后在考虑的有三个选择,留在实习转正的阿里安全,蚂蚁的支付宝安全以及字节的抖音电商安全。

关系好的朋友们可能也都和我或多或少的有聊起过这些选择,又或者是看到了我的那条朋友圈。在各种因素影响下,最后选择了前往字节跳动。

image-20231231162229999

image-20231231174646960

image-20231231162334215

离别总是比较伤感,虽说对于大多同事来讲,大家不过共事过小几个月,说过不多的几十句话,一起打过一两个项目,但总归也是相识一场。

在和ld喝完下午茶后,他表示尊重我的决定并且祝我未来加油,也得到了同事们的祝福,离职前加了一波微信,希望大家未来都会更好~

image-20231231163648444

一些在阿里的碎片记忆~

同事A整活,给ld送了一个灯,寓意____。 🤣🤣🤣

image-20231231174423001

十月同事一起给我过的生日

image-20231231174326000

双十一的西溪园区

image-20231231173858577

走之前又在公司逛了逛,看了看公司的湖

image-20231231162123812

时间来到十一月中旬,从上一份实习工作离职后,终于能够闲下来在学校感受一下校园生活。健身房,打球,打游戏,这一个月除了学习倒是什么都干,哦还有阳光长跑哈哈。

和朋友吐槽起说,这整一年都在上班,突然不上班了反而不太习惯。

十二月初有一场强网拟态CTF,要去南京线下打。记得外国队伍当时评价比赛说明文档为“Like random English words”😄,这场比赛也大概率是大学CTF生涯的最后一场线下赛啦~

image-20231231162939711

打完比赛回到学校后,匆忙休息几天,便又是出发上海,租房,入职,开启新的生活。

image-20231231163706292

说起来近期发现自己学习技术的欲望和写博客文章的表达欲都在下降,想来这一年六便士是捡起了,也希望能够不忘学技术的初心,永远寻找自己心中的月亮~

新的一年想做的事

  • 保持健康
  • 谈恋爱
  • 完成第二件事情