实习总结

实习经历

2019.10~2020.04 某甲方 安全开发实习
2020.04~2020.06 某乙方 安全研究实习

甲方

小甲方安全团队人少,所以虽然岗位是安全开发,但基本啥活都会干一点。

安全思维

这是实习半年最大的一个收获吧。以一个信安学生的身份,进入甲方实习。以前一直觉得安全就是渗透,二进制,IOT,往下学不过是代码审计,免杀提权,内网APT。

但在甲方,思考的应该是如何正向的去建设一个企业的安全。怎么把一个项目落地。如果出很多方案很多规章制度,却不能落地执行,也是一个很大的问题。

因为安全是没有产出的,所以在甲方纯技术的岗位是比较少的,除了大甲方能养得起实验室做安全研究外,大部分甲方都是偏运营的岗位多一些,比如做等保合规,制定公司的安全管理制度,公司内部和外部SRC的安全运营,公司整体的安全架构。甲方安全人员做的渗透测试,代码审计的内容也会偏少,主要是制定安全方案然后去业务线推动落地。像渗透审计这类的活在企业安全初步建立的救火阶段做的比较多,成熟以后会以SDL,外部SRC提交,内部自动化的形式来减小时间的浪费。还有一些常规运营的活比如安全意识的宣传,内部做一些钓鱼邮件测试。

数据安全,接口安全,服务器安全,办公网安全,每一个点都有很多事情可以做。

比如办公网安全,办公网的准入,身份认证。之前也试过做radius+ldap+802.1x的准入方案,还有比如对设备的识别,使用双因素认证。

数据安全:DLP数据防泄漏,数据的分级治理,数据水印,数据的脱敏。

接口安全:防篡改,防重复调用,比如短信轰炸的问题就是很典型的接口安全问题。

身份认证:SSO,LDAP,OAuth

bl00dzer0 师傅的 开源安全架构
推荐下一个师傅的文章:失业之前的安全工作总结
有甲方的工作经历好看着就觉得很实际很有感触。

立个flag 今年结束前读一下聂君的企业安全建设指南

渗透测试

感觉自己做渗透的时候还是不够仔细吧,一些参数一些功能存在问题的地方没有去发现。

安全开发

主要是用的Django

钓鱼邮件系统:Django+rabbitmq+celery 用队列来发送邮件。

安全平台:DRF+angular 后端DRF写API,前端用angularJS,也涉及到一些celery做异步任务比如发送通知邮件,查询信息之类的。

不足:设计思想,代码质量,以及一些架构类的问题。数据库models如何设计,一些常用的功能函数如何解耦,如何使用redis做缓存。没有接触一些SAST,DAST的实现设计。

安全SDK:参考陌陌开源SDK

应急响应

日志审计
代码审计
bypass师傅写的笔记很好了:https://bypass007.github.io/Emergency-Response-Notes/

不足

可能是因为我们安全团队人数太少吧,感觉没有一个浓厚的安全氛围,也没有像在学校里一样会和同学经常讨论一些技术性的问题。当然也和我自身比较内向有关,遇到问题总是喜欢自己一个人闷头搞,最好也能解决但是会浪费不少时间。开发这一块一直也是自己在做,在一些设计思想,架构基础上提升很有限,还是需要多写代码,多看一些优秀的项目。

渗透这方面也需要多挖些补天和SRC吧。有时自己还是太懒了回家就不想看代码。

总结

感觉确实没学到太多吧。
一是自己不太主动,遇到问题更喜欢自己一个人埋头苦干,虽然也能解决,但是会浪费很多时间,后续工作中应该多和导师老大交流。
二是对工作的深入的思考还比较少,比如工作中接触到的一些数据安全,接口安全,IOT的东西,没有深入去学习了解。以后应该主动学习,接触到的东西要及时了解总结。
多动手多实践,认清现实放弃幻想。

离职前老大给的建议:

  1. 做好职业规划,制定好长期的一个大致目标,三年内要达到什么目标,五年内要达到什么目标
  2. 多考虑如何从正向去建设安全,在研究一些安全问题后多思考如何防御如何解决

乙方

在乙方做的是红队方面的安全研究,因为自己决定放弃工作选择读研,所以实习的时间很短只有两个月多一点,感觉接触的东西还是很少

内网渗透

这一方面涉及到的就比较多了

  • 外网信息收集
  • 边界突破
  • 内网代理转发
  • 权限维持
  • 免杀
  • 横向移动

接下来会做一些总结,玩一些靶场,提高下自己内网的能力吧

红队建设

一些常用工具服务的搭建,C2,DNS隧道,DF等等
推荐下wing师傅博客吧 我太菜了
https://evilwing.me/

攻击手段

平时日常会做一些漏洞复现,然后写exp写脚本,总结攻击手段。还有屯一些绕waf的payload,当然大佬还可以挖0day屯0day

渗透应急

有时也会做一些渗透应急的项目,渗透主要拿shell为主,之前做一个项目的时候找到一堆mssql和oracle的注入,但是拿shell总是失败,接下来做一下这方面的实验和总结

总结

实习时间太短,而且其中还有一个多月的远程,自己也比较浮躁吧,没有去沉下心做一些有深度的东西。

需要补足的一些技能短板吧:

  1. JAVA WEB,学java 熟练利用熟悉原理
  2. Android,学一手APP渗透和简单的android逆向吧,方便从移动端找突破口
  3. 内网

还是有些迷茫,不知道未来自己该选择哪个方向
总之希望研究生三年能形成自己的核心竞争力吧,早一点确立目标,然后努力实现。

共勉

posted @ 2020-07-09 23:10  twosmi1e  阅读(387)  评论(0编辑  收藏  举报