从乙方到甲方，我在做什么

最近，总有朋友在问，从一座熟悉的城市到陌生的环境，从乙方到甲方，这个转换挺大的，会不会有挫败感，你平时工作内容主要是哪些？

答：还好吧，开始去尝试新的东西，能够有充足的时间去思考自己想要做事情，并亲自去实践。

---

刚入职时，正值几个重要的应用系统要上线，这不正是我擅长的领域嘛，通过黑盒渗透发现了很多高危漏洞，

比如：

可以查看任何人薪资，想看谁就看谁的，可以细到月份、社保、公积金的那种；

可以重置任何人的域账号密码，又因为域账号绑定了个人PC、邮箱、OA等常用办公系统，你可以重置任何人的域账号，然后登录他常用的办公系统。

.........

通过几个典型的漏洞案例，来证明下自己的技术能力，这还是很有必要的，可以快速的让别人了解你擅长的领域是什么。

最开始接触的是ISO27001安全管理体系，然后慢慢了解本部门的工作流程，花了不少时间去熟悉原有的应用安全相关的流程/标准，借助SDL、S-SDLC的最佳实践，重新梳理原有的应用安全流程/标准，再到发布新的流程，运行，推广，这将会花费我很多的精力。慢慢地对企业内部的应用安全现状有了一定的了解。

---

刚入职时，有个安全服务的项目，角色转换过后，你可能也会遇到这样的场景：

听着某乙方销售对着你，用着不太专业的术语跟我解释什么是渗透测试，什么是应急响应，莫名地喜感。

一个售后出身的安服项目经理，说起渗透，分分钟就能把你网站搞瘫。你跟安服项目经理说，之前你就是做安服的，安服这一套你也很熟，然后安服项目经理可能没听懂，以为你之前也是干售后，继续跟你吹的天花乱坠。

看着提交上来的漏洞，一个参数位置有两个高危漏洞，XSS跨站脚本和链接注入，同一个原理出来的，好吧。

最后，你实在忍不住，告诉安服项目经理，你之前就是做渗透测试的，而且技术好像还可以的那种，

看着他迟疑了好几秒才反应过来的表情，终于踏踏实实做项目去了。

 

未知攻焉知防，通过自身丰富的安全攻防经验，来帮助企业解决一些安全问题。

目前，主要专注于应用安全、应用安全开发，企业安全建设之路漫漫，保持学习、思考和实践。

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。