今天还是去学习,昨天看另一个实习生有在了解ctf什么的,我就打算也看一看,问了问我的导师,他说我闲了可以看看,把我拉到了公司的ctf组,本来以为会是什么高大上的组织,结果好像就是平时分享分享知识,偶尔打个比赛,今天加进去,一天没任何动静。
简单看了看导师发的资料,web里面好多没见过的漏洞,感觉基础太差了,又找到小迪准备踏实学,害怕这两天让我去客户现场干漏扫,我又看了一下漏扫工具的使用,看是差不多看懂了,但是没用过,还是感觉差点儿。后面我就直接看小迪讲课了,也不知道咋搞的,居然一天就看了一节课,好吧~为了彰显我干的多,我把昨天晚上回学校干的东西也一起写上去,写日报这个事情,上一次实习给我留下很强的影响,每次写不好就被拉出去说,咱就是说,管公司有没有要求我,我都给他写详细仔细了,以下是我的日报:
1.24日总结:
一, 学习昨天剩下的web应用安全测试指南;
二, 对.NET框架进行了一个总结,并写了一篇总结笔记:
1. 了解了.NET项目当中的dll的反编译操作;
2. web.config错误调试,报错处容易造成信息泄露;
3. 此类项目易出现未授权访问,在网上找了几个例子阅读了一下;
三,对cookie和session产生漏洞的原因做了总结,并写了一篇总结笔记:
1. cookie保存在客户端容易被修改伪造窃取;
2. 联动xss可以达到权限维持;
3. session保存在服务器端易产生session劫持;
四,对PHP特征函数做了复习:
1. 手写简单php代码测试函数效果;
2. 了解各个函数常见的绕过方式;
3. 找了几道PHP相关的ctf题目;
感想:
以前我只是简单了解一些Web的CTF题目,但是今天在学习PHP特征函数的过程中,我发现学习CTF并不仅仅是为了参加比赛。很多需要审查代码的地方在实际战斗中仍然会出现。因此,我计划在平时有空的时候多看看相关题目,深入了解和熟悉,以便更好地应对实际挑战。
别看干的多,吸收的并不多,忙着记录实验,没有复盘,晚上星辰(亦师亦友的人)问我你写的都吸收了?这一问我还真不敢说,这才意识到写的挺多,吸收的几个?这个感想我没写到日报里,今天就这样了,明天继续加油!
