2020年终总结

Posted by 跳跳龙 on April 2, 2021

感受

也不知道大概什么时候起,很多博主开始写起了年度总结,总结这一年的输出以及对新的一年的展望,我一直都不是致力于做一个优秀的博主,也是最近工作异常的忙碌。回想起来上次博文的更新,居然都快半年了。这5个月的时间里,一直在白盒安全扫描方面做一些研究和研发。回顾这一整年的历程,相信每个人都对2020有着奇怪而又难忘的经历。

我的2020最大的收获就是自己证明了,做自己想做的事情,生活就会愈发的精彩,而我,一直在延续着这种精彩。

年初的时候,正是疫情爆发的时候,那个时候还在北京。然后过完年之后,感觉前前后后大约有几个月的时间都是提心吊胆的在家办公。中途又慢慢的经历成AB班,真是感谢公司,准确的说是前司了,和我们一起经历着这百年不遇的疫情。在这期间,我也是做了一些关于java语言的安全研究,感受动态特性在安全方面的威力。

随后随着疫情的慢慢平稳,生活和工作也慢慢的回归到了正轨上来。后来6月的时候,跟阿里约了下面试,正好有一个我非常喜欢的工作内容,做一些白盒方面的安全研究和开发,唯一让我感到纠结的就是我需要来到杭州,开始我的北京-杭州双城生活模式。

7月底的时候还是来到了杭州,开始新的环境,新的生活。

哎,写到这里的时候,十分让我感到汗颜,都已经是2021年的4月份了,最近一直都比较忙于工作,断更得厉害。

说一些比较干的东西。2020年有几个层面的收获是我认为比较难得的。第一个是我换了一个视角来做安全。完全从开发的视角来理解安全,很多时候,代码量的不断累积,才能感受到平时的一些漏洞,开发为什么能写出来,不是简简单单的他是一个漏洞,而是这个人,在什么场景下才会写出来,如果未来的安全能力能从场景上去对开发同学去做规范,我觉得这是一个好的方向。

就比如order By注入吧,大家都知道,order By是没办法进行预编译的,因为你没办法在执行之前就搞清楚这个地方要传几个值,所以没有一个确定的模板来帮你完成。那问题来了,程序员难道要一个一个的接口进行校验order By的枚举类么,怎么才能设计一个通用型的方案,才能让程序员不用操心的去使用order By。利用反射对DO进行枚举可行吗?所以安全不应该是怎么做才安全,而是什么场景下这么做才不安全。

第二个收获是我觉得思考的重要性,很多时候做事情真的是,没有思考的去做,就是你都没办法确定预期结束的时间。一定要带着思考去做事情。人和人之间是有着巨大的认知差距的!

第三个收获就是学习代码审计最好的方式就是去心无旁骛的去写代码。我觉得任何代码审计的知识都必须建立在写代码的基础上,否则都是浪费时间。

最后一个收获也是我最大的一个收获,就是做一个人间清醒的人!不要觉得一个人不如你,你就可以不听他的建议,以为再不如你的人,给你的10个建议中,一定会有一个是有用的,你很有可能在那一个建议上在人生的路上栽跟头。学着在不如你的人面前谦虚,在比你强的人面前不卑不亢!