蚂蚁新人培训班上,有新来的同学问我有什么经验分享给他们?我回想了这么多年,如果只说一条的经验的话,就是把每件事做到最好,做到你自己认为的最好,做到你团队内最好,做到公司做好,做到行业最好。
我没有其他人的名校、也没有很多人的天赋,如今更没法和别人拼体力。但我知道深入每一件事,比别人多思考一些,多行动一些,在现有基础上做的再好一些,就能有不一样的效果。
🌰GitHub敏感信息泄漏监控
比如几年前的时候GitHub敏感信息泄漏风险很严重,当时市面上已经有很多款扫描和监控GitHub泄漏的工具了,但我发现他们做的并不好。最关键的是他们的监测效率并不高,从上传泄漏文件到发现可能长达数小时甚至数日。这对于攻防对抗来说是不可以接受的,这个时间内攻击者一旦提早发现可能整个攻击链路都打完了。但这些扫描工具当初使用的是爬虫爬取GitHub搜索结果,这种方案天然就存在不确定性,你不确定GitHub的反爬机制,指不定哪一天就封禁了,更不太可能做高频实时爬取。
于是我研究了下,GitHub有官方OpenAPI可以调用,虽然有速率限制,但只是针对单个Token的。也就是说申请多个Token,控制在官方限定的速率下即可实现高频调用官方OpenAPI监控泄漏情况。这不是一个很难很复杂的点,但实现这一个点,就和其他同类产品产生了本质的差异。
做完这一步并不够,为了让程序更加健壮,还在每个细节做了很多优化。比如缓存查过的记录以减少调用频率、学习搜索特性以更加精准发现、发现含有敏感信息的代码库自动fork一份、调整邮件收件协议为POP以更快收到告警、基于邮件标记能力快速记录风险或误报、通过定时提交包含敏感信息的代码来验证是否能持续稳定快速的发现风险。
做完这些小的优化后,已经能够完全满足公司的需求了。但我并不满足,既然觉得做的好,那就拿到外面去验证下。于是我开始收集各个企业的代码特征,加入到我的规则库中,发现在三方漏洞平台上很快就进入排行榜前十了,随便月入10k+,啥都不干每天坐着收漏洞,多到邮箱都提醒我发信频繁了。
🌰网络安全面试指南
一开始,我只是想记录下面试过程中的经验,以便下次面试时使用。但每一次面试后,都会有一些新的收获,随着不断的补充,逐渐从一篇文章拆分成多篇文章,每篇文章也在不断的丰满。涵盖网安行业、选择公司、必备素质、能力分层,还有面试经验、如何做好简历,最后还有各种安全岗位常见的面试题目和分析。几乎代表了了我对网络安全面试的所有思考,这时候我发现他已经帮到很多应聘者了,自然传播越来越广,越来越多的人来感谢我。