2024年玲珑安全年度总结
时间过得很快,马上2025年了。想说的很多,不知道从哪开始说起。想写的很多,不知道怎么把它写好。对我来说,今年是非常忙碌和充实的一年,是压力倍增,压力巨大的一年,是充满着希望和绝望的一年。怀疑过自己,难受过,失意过,迷茫过,焦虑过,但是从没有停下脚步,一直在向前走。
今年我从漏洞挖掘者,安全测试人员,渗透测试人员,红队攻防人员变成了一名漏洞挖掘技术服务者,变成了一位教导他人学网络安全的人。何其有幸,承蒙大家的厚爱,玲珑安全不会辜负各位朋友的喜欢。今年玲珑安全团队内部做了很多工作和事情,做了非常多的努力。这离不开我们学员给的建议和外部人员的建议。每当玲珑安全遇到挫折困难的时候,团队内部的老前辈们,外部的好朋友们,总会给我们一些贴心建议。玲珑安全真诚,真心感谢他们的建议和指导意见,帮助我们一次次渡过难关,浴火重生。
在这里,玲珑安全承诺。玲珑安全必定做好售后,深耕服务,做好服务。玲珑安全的今天都是各位的功劳,玲珑安全的今天,完全依赖于大家,在这里感谢大家2024年对玲珑安全的支持。
不管您有没有报名我们玲珑安全的课程,我都想衷心对您说一句,谢谢你们。谢谢你们私下讨论玲珑安全,谢谢你们关注我们玲珑安全官方账号,谢谢你们进我们玲珑安全学习交流群,谢谢你们参与玲珑安全公益分享,谢谢你们报名玲珑安全的网络安全技能提升课程。一路走来,和喜欢玲珑安全的各位友友们,共同成长,共同学习。还记得那句口号:一起学习 一起进步 共同成长 合作共赢
今天借着这篇文章,聊下我们玲珑安全内部学员特点,希望能给自学网络安全的朋友一些帮助。排名不分先后,玲珑安全学员太多了,这边举一些学员例子供大家参考:
一期学员re*l*3*: (基础好的学员)
1.开课期间,非常爱提问,经常找我探讨技术问题。每次遇到漏洞挖掘问题,都会来请教我,热爱漏洞挖掘
2.坚持,能熬夜,吃的了苦
3.工作过,网络安全基础知识扎实,报名课程之前就挖过一些src。
4.擅长发现新资源和利用现有资源来做事情。随着他后期的发展,这个能力愈发显著
新年寄语:
1.你和我很像,我们俩都很浮躁,想办法让自己静下来,慢慢来。我知道这很难,江山易改本性难移。
2.不要暴躁,控制好情绪,我知道这很难。
3.多做善事,积善成德。
4.帮助别人就是帮助自己
5.我知道你的故事很多,一路走来不容易。你比他们都大,所以很多事情,我就不多说了。
6.多和pk*b*y学习,学习他的业务理解能力。
7.减少开销,多攒钱。因为你和其他人不一样。
8.因为你全职,所以要少熬夜。挖洞尽量改成白天挖,晚上早点休息。身体是革命的本钱
一期学员pk*b*y:(基础好的学员)
1.对业务理解能力,已经达到了巅峰的水平,挖洞手法特别新颖
2.耐心很好,有定力,充满好奇心,好奇心非常足,爱问为什么
3.挖洞很擅长举一反三,头脑灵活
4.虽然只挖逻辑漏洞,但是因为有2和3太突出了,只挖逻辑漏洞就走上了巅峰
5.坚持,能熬夜,吃的了苦
6.天赋高,理解力强
新年寄语:
1.居安思危,要有危机意识
2.没有谁能保证自己永远站在顶峰,命运总是给我们开大大的玩笑。
3.保持节约节省,现在经济行情不好,赚钱都不容易。赚的多,学会存钱,攒钱。
二期学员:x*d*:(基础好的学员)
1.基础很好,骚操作多,绝活哥,爱动脑
2.比起前2位,这位天赋也很好。挖洞属于顺其自然类型,不会刻意坚持挖漏洞。提倡顺其自然,主打随缘
3.喜欢挑战,喜欢挖难的项目,觉得很有成就感
4.执行力强。老师上完课的知识点,会立马实践。
5.总结能力强,对于上课讲的某类业务场景,可以快速定位到类似业务点挖到类似漏洞
6.韧性足,海外漏洞挖掘事件看得出来,打不死的小强。
7.对自己高度自律。从身材就可以看出来,从说早睡就看出来。
新年寄语:
1.大多数人都没有你幸运,希望你一直幸运下去
2.继续保持你的优秀习惯,好习惯受益终生
3.继续保持自信,你是最棒的
二期学员:刘*刘 {基础特别差}
1.热爱黑客技术,痴迷黑客技术,喜欢漏洞挖掘技术,觉得成为一名黑客非常有成就感
2.活泼,爱在学员群聊天。热爱提问,在学员大群提问,不觉得提问多丢人。始终保持学习者的心态
3.虽然基础很差,但是很坚持,能熬夜,吃的了苦
新年寄语:
希望你以后越来越好。
1.继续保持多提问的精神,走自己的路,不要管他人。
2.好好学习基础,好好看看基础知识
3.热爱技术是好事,不要用技术做坏事,要做个好人。
4.把一招练到极致,你就是大师。贪多嚼不烂
5.做好自己,过好自己的生活。
6.照顾好自己,少熬夜
3期学员:小*白 (基础可以)
1.喜欢问我问题,热爱提问。他技术很不错,但是仍然会在群里提问,一直是求学者的心态。很多基础远不如他,都不太不好意思提问,而他没有这个顾虑,没有架子,不会端着自己,对待问题他喜欢刨根问底。
2.模仿能力强,爱和优秀同行交流,喜欢交流和技术碰撞
3.热爱网络安全,热爱漏洞挖掘
4.好奇心重,总会问为什么。
5.坚持,能熬夜,吃的了苦
新年寄语:
1.和同行交流这个行为很好。个人认为网络安全行业,尤其是黑盒漏洞挖掘,要多交流碰撞,思路无价,交流碰撞才有很大的进步空间。
2.耐心,恒心,坚持。
3期学员:七*wan:(基础一般)
1.能听从他人的建议,听人劝吃饱饭
2.开朗,活泼,热爱学习,有危机意识
3.擅长讲课,本人帅,幽默风趣。可以把无聊的东西,讲的很有意思。之前内部技术分享,他讲了个议题,我觉得很不错。
4.学习动力足。虽然在学员大群里不好意思提问,但是会私下找我。私下会问我很多问题。对于自己不懂或者遇到棘手问题,都会来私下提问。不是个闷葫芦,会找解决办法。
5.执行能力不错,对于学会的知识点,可以有效吸收。
学员寄语:
1.用以致学
2.不要陷入内耗,当下就是最好的
3.加强学习,全方面学习,不要原地踏步。
4.加强好奇心
4期学员w*th*ut:(基础好):
1.热爱网络安全,热爱漏洞挖掘
2.探索欲强。渴望成为强者,在自己擅长的领域,对自己比较苛刻,对自己有高要求。对于自己不会的知识点,一定要搞明白。
3.走的路线是用以致学,不是学以致用。经典语录:赏金让我学会了一切 通过赏金学习了很多知识点,一步步完善自己的知识大陆
4.特别吃苦,特别努力。不了解他的人,看到的是他的天赋,了解他的人知道,他背后付出了很多努力,能熬夜。人前显贵,人后受罪
5.不屈不挠,充满韧性
学员寄语:
1.累了就多休息休息,在同龄人中,你已经是佼佼者了。
2.你还很年轻,继续用以致学,信心比黄金更重要。
3.即使哪一天真的技不如人也很正常,人外有人,天外有天。唯有保持谦虚学习,才能更好的进步
4.一时的失败不算什么,活到最后的才是王者。
nan*风 & 小*天*cai:
这两位岁数都很小,我印象很深刻。他们岁数小,没有经济能力,因为热爱网络安全,父母花钱帮他们报名,父母害怕自家孩子在网上被骗,给我打了几次电话,最后证实我们不是骗子。
对于这两位,我期望很大。我不想对不起人家父母,现在父母赚钱不容易,虽然我们课程不贵,但是我也是希望他们能够真正学到东西,对得起自己,对得起自己的父母。nan风很努力,我看在眼里,很勤奋,继续保持!
随着课程的难度提升,部分学员跟不上课程节奏,没有建立正向反馈。怪我没有手把手带,希望这一批学员五期好好学习。我将加强带动一些"高开低走"的学员。
目前玲珑安全对于岁数较小的朋友,我们采取的措施如下:
1.如果真的对网络安全感兴趣,可以在哔哩哔哩搜索玲珑安全公开课观看免费的网络安全知识,够你们学很久了。
2.不要负债报名任何一个培训机构,会影响你在大学的生活质量。
3.不要因为一时冲动来报名玲珑安全课程,课程强度很大,学习很辛苦。课程周期比较长,需要的是坚持。
4.尤其是父母来报名缴费的这一批学员,希望你们能把钱当钱,能体会到父母的不容易。以后你们出社会了,你们就会明白我说的。来学习,就请认真一些。
希望我们玲珑安全可以帮助到您,这是我们希望看到的。
三人行必有我师焉,我们学员都很优秀!我们的学员都很辛苦!我们的学员都不容易。要好好学习学员身上优秀的品质,努力去除自己身上的劣根性,始终和我们的学员心连心在一起。2025年,玲珑安全将履行承诺,竭尽所能。这里我列举了一些学员例子,希望能给看文章的友友们一些帮助。
2025年,新的一年,希望玲珑安全所有学员越来越好,幸福,快乐,暴富。
2024年web安全攻击常遇到的问题总结:
1.AI滥用带来的安全问题 具体问题如下:产品业务功能点和AI对话调度逻辑不一致
(1)如某些产品是消耗性产品,用一次,会自动扣钱或者扣除一定数量的积分,使用AI对话调用功能点,可以绕过扣款环节。
(2).因为AI对话,会自动调度api接口。使用这个特性,实现权限提升。
2.一个众测,如果能注册登录进去,功能点很多,但是被人挖过一轮了,怎么办?(仅限于海外)
(1)关注叽里旮旯的功能点。如多级分类功能
(2)关注新功能点,围绕api文档,围绕帮助手册
(3)提取参数,链接,额外注意api接口
3.无害脏数据是个好东西,比如这些:@#%&*;./\等
4.使用相同信息或者相似信息注册网站,可能会有"惊喜" 。比如说相同的密码,相似的用户名,相似的身份ID
5.api文档fuzz,已经成为web现代化攻击必备技能点。
6.aigc带动时代的发展,很多漏洞,很多问题,自己不懂是没有关系的,问问AI,他会告诉你一切,他是你最坚强的后盾。
7.只要还有安全测试的一天,fuzz永远不会被淘汰。只不过现在的fuzz更多是基于信任区域,而不是盲目无脑fuzz。
8.绕waf要多研究特性tricks。比如说要绕注入waf,要研究数据库新特性,新语句,新语法。用新魔法打败旧魔法。
9.知识点联想,如果A类业务存在这个安全问题,那么类似的业务场景是否也会有这类安全问题。
10.ssrf漏洞挖掘门槛变高了,比较难挖到了,但是还是有。虽然不是很赚钱,但是文档类ssrf还是可以赚钱。ssrf肯定是比注入多的。
11.加密id并不是有效的安全防护手段,国外资产大多数使用加密id,看似安全,其实一点也不安全。加密id并不是都无法获取,还是有很多渠道获取到加密id。我喜欢挖加密id越权。
12.如果你通过一个网站api接口挖到漏洞,建议你fuzz一遍整个资产,大概率会有类似api安全问题。
13.fscan不仅仅用于内网渗透,云产品业务下,你也可以试试fscan扫一扫,万一扫到了些东西呢?
14.burpsuite全局搜索是被低估的功能点,用好它,它能快速帮助你了解数据包,找到有效信息。
15.很多人羡慕别人能搞到特权账户,刷一波直接起飞。很多人是很想知道怎么搞的,我是知道的。如果你想知道,那你就要在这方面下功夫研究。无非就这几块:1.买卖交易 2.善意的谎言 3.主动泄漏
16.GET转POST,POST转GET你很好,现在是要更进一步了。GET/POST转DELETE,POST/GET转PUT,一切都是因为restfulapi。
17.web安全测试,玩的就是一个数据包,一切门道都在数据包中完成。
。。。。。。。。
了解我们,了解玲珑安全:
关注学员成长,了解学员心声,了解学员报喜:
往期学员挖洞报喜🎉列表:https://www.ifhsec.com/list.html
授课讲师实力资质:http://linglongsec.com/sec.pdf
第一期学员心声详情:http://linglongsec.com/sec1.pdf
第二期学员心声详情:http://linglongsec.com/sec2.pdf
第三期学员心声详情:http://linglongsec.com/sec3.pdf
第四期学员心声详情:http://linglongsec.com/sec4.pdf
1.玲珑安全微信公众号:玲珑安全
2.玲珑安全推出的免费的免费从0-1安全学习视频和src漏洞挖掘思路视频:
https://space.bilibili.com/602205041
3.玲珑安全定期直播关注:
4.玲珑安全官方联系微信号有两个,如果大家对网络安全感兴趣,可以联系我们:
(1)linglongsec 玲珑安全客服小姐姐:
(2)bc52013
祝在座各位,平平安安,顺顺利利,谢谢。2025年,玲珑安全将牢记使命,不忘初心,至诚服务。口号要有,行动更要有,我们一直在努力,我们一直在路上。
