最近有点焦虑,写点东西,反思反思,并回望自己这半年来的收获与不足。
1:英语方面,前几天的DEFCON China,认识到了英语的不足,学习是一个交流与分享的过程,接触更多学的更多,接下来考个托福或者雅思,年底前完成。
2:自动化方面,聪明的人很多,他们懂得利用自己的知识去走捷径,对于一个漏洞挖掘者,自动化工具的确节省了自己很多时间,帮自己漏洞挖的更有效率,For Me:补强自己的Python能力。
3:代码方面,都知道如果在挖掘漏洞的时候可以看到源代码,那么肯定事半功倍,但后台源代码肯定是看不到了,但是我们可以看到JavaScript代码。从JS代码中,我们也可以挖掘出一些漏洞,比如:Dom Xss,Open Redirect,Cookie Boom,更有甚者,载入第三方JS,所以,在挖掘网站时候,看看JS是一个很好的思路。
4:学习方面,去接触一些更新的知识。例如Oauth2.0造成的Token泄露,Facebook开发的Graphql,S3可读写,子域劫持等等。
最后,善于利用学习资源Google,Twitter,博客都是一个好地方。Hackerone也很棒,从中的确学习到了很多。
Keep On!