一点小收获 === 本文写于2018年8月31日，当时是大二的暑假，在绿盟做了两个月的安全服务（主要是渗透测试）。 现在看起来当时自己真的是too young too simple --- 两个月的实习没想到很快就过去了，还是有不少收获的。有很多大神，同事老大都很nice，团队气氛非常好，都是本着要把事情做好的态度去做的，不愧是国内老牌顶尖乙方安全企业= =。通过这一个多月我基本确定了之后的职业方向和不足之处，随便写点什么，没有什么逻辑关系 ### 1、安全服务 乙方公司提供了一整套的信息安全服务。比如咨询、评估、安全开发等层次较高覆盖面广的大服务；还有比较接地气的代码审计，渗透测试，等级保护，应急响应等服务；还有红蓝对抗，态势感知等等噱头很足的服务和产品。 像安全咨询、评估的项目负责人就需要很扎实的安全功底，起码要有很丰富的渗透、审计经验且有相关大型项目的经验，不老老实实做几年技术是很难胜任的。但是想把渗透审计做的很明白也不是一件容易的事情，都需要时间的积累，SDL，DevSecOps安全开发之类的就更不用说了，开发安全技术都得很不错才能做得好，所以在学校里要做的就是把基础打好，包括但不限于各类语言框架的使用，老生常谈的网络数据结构算法等计算机基础课，英语，还有就是安全知识的积累。 leader强调了基础扎实的重要性，基础好将来想不做安全了也有的是其他出路，当然都是后话了。 ### 2、安全研究 一般乙方都有符合自己业务线的实验室，还有为了蹭热点的前沿技术如区块链的安全研究，这个就要求研究员的基础不但要好，而且要在一个领域比其他人要深一些才能胜任。好处就是KPI不是很紧，能做自己喜欢的东西，远离和人（尤其是客户）打交道，可以把大部分精力放在手头的东西上。 ### 3、目标 将来还是想去乙方公司认真把安服做好，毕竟技术栈太符合乙方了。安全研究是不可能了，一是没那个脑子，压根就不是什么技术大牛；二是想多和人打打交道；三是二进制的东西一点不懂，这个倒不是什么大问题。如果比较顺利之后做做安全咨询、架构也不是没可能。甲方有那么一丁点混吃等死的意思，尤其是传统行业的国企，整个IT运维就是边缘部门，学不到东西，当然BAT还是很不错的甲方，有机会一定要去互联网公司参与一下企业安全的建设。 ### 4、不足 安全和开发底子都不是很好，接下来半年专心做开发，渗透多实战，多审代码，之前还是太浮躁了。老大说我基础还不错，估计也是看在我才大二鼓励我= =项目经理做项目的时候生怕我们实习生不会，找了个大神带，渗透的思路都帮我们写好了，每天问好几遍有啥问题，解答的时候非常耐心，意思就是在培养我们，团队氛围非常不错 红蓝对抗就更有意思了，挖出洞了之后是可以深入利用的，这种机会可少之又少，可惜的是一个能进内网的shell都没有，有的大神都提权到能开摄像头了，惭愧，还是经验不足