网硕互联帮助中心2024网安界跑出一匹引人瞩目的黑马 仅用一年挖洞收入突破100万+的百万赏金猎人 2024腾讯SRC年榜第一 而就在这一年前 他仅仅是一个因为挂科留级的大一“新生” 他说,他是天才小火炬
2024 创造挖洞奇迹
2024年,网络安全领域迎来了一位耀眼的新星,他用一年时间创造了令人瞩目的成绩:挖洞收入突破100万元,**成为腾讯SRC年榜第一,并刷新了腾讯SRC有史以来的年榜最高分纪录。**不仅如此,他还获得了2024年腾讯双十一保卫战师长(第三名)、HackerOne中国区第三季度第五、Boss直聘SRC 2024年第十、微博SRC 2024年第七、UCloud SRC 2024年第五等荣誉。
而在这些耀眼的成就背后,他曾经只是一个普通的游戏少年,小学时就开始偷偷玩游戏,高中时更是沉迷其中。也正是因为热衷网上冲浪,高二时,结识了网络安全的很多大神,那时候觉得他们好厉害,太牛了。
接触到了网络安全的“挖洞”世界后,从此一发不可收拾。他的故事,就像一部精彩的逆袭剧本。
正如他所说:“没有特别崇拜的对象,我觉得我最牛逼。”
2024年收入证明
2024腾讯SRC年榜第一
腾讯SRC有史以来的年榜最高分纪录
挖海外第一个月上万美刀
双十一安全保卫战"师长"称号
挖洞之旅 从迷茫到突破
“一篇文章先不管它水不水,它里面多少都会有一点能用得到的东西。”
因为没有系统性的学习,我前期基本上就是有问题就查资料,追着北山还有其他人士问,还有知识星球,平时没事的时候公众号CSDN 、Git Hub,各种各样的文章都看,现在基本上都是看Medium,看得多了总有一天挖洞的时候能用得上。有的时候一个问题研究一晚上也研究不明白,很痛苦!是兴趣让我坚持下来,挖不到的时候全都是靠 CTF 平台刷题那种正反馈来坚持的,看到别人的赏金很羡慕,他们怎么可以挖到这么多的,天天就是各家 SRC排行榜一个一个翻,看他们兑换的奖金来激励自己。
挖不到洞的时候我会很焦虑,有时候找北山他们要新思路,但是总归是别人的东西,这次给了下次呢,还是得靠自己。还有就是去刷那种垃圾洞,这也是一个办法,去刷一些公益 SRC 、 EDU SRC漏洞或者是小厂商企业SRC ,虽然说钱少,但是你刷完之后你就有感觉自己在产出,就是有正反馈有动力,这样才可以可以去接着静下心来去看那些更高等级的一些思路了。
挖不到洞可以,但是你正反馈要有,这样才能哄着自己坚持下去。
通杀思路的迷茫
如何找到属于自己的“金钥匙”
发现通杀思路是一个很机缘巧合的事情,当时有人在聊天群发了个卡屏代码,我点了一下发现qq直接卡死无响应退出,然后我就想会不会其他安卓app也有,我就去研究,花了很久的时间去研究,最后发现这个其实是安卓app官方的字符串渲染组件的一个漏洞,最后这个思路谷歌给了2000美金,并且各大平台前前后后捡了差不多1w元。
当时在刷这个通杀的时候,就会侧面给自己一种危机感,抱着一种刷完了怎么办这种想法,然后刷完之后我就开始研究别人的思路,就是他们放出来的那些各种各样的逻辑漏洞,各种各样的一些TOP10 的绕过这些。看了他们的思路之后就开始重点关注和研究这类的漏洞。
我经常翻阅关于oauth2.0的文章和一些传统的攻击手法,一开始也是针对传统攻击手法挖掘到了一个华为的,劫持了登录凭证,但是无法利用,然后转头研究腾讯的,结合之前看到的一些文章和打ctf的时候了解到的一些特性,发现了通杀问题。
就这样,我开始了研究通杀思路。
## 送你通杀思路 开启你的挖洞之旅
一开始我也是加了各种各样的知识星球自己摸索,花费很多时间效果也不好,还把人弄得很焦虑。自学就等于是先走别人给你铺好的路,走到最后肯定是要自己去找新思路的,不可能说一辈子都是别人给思路的。
挖洞这条路认识了很多人,也发现有很多人跟我刚开始挖洞时一样迷茫,所以开了这个课程,希望能帮助更多像我一样的“挖洞小白”快速成长。
这套课程的亮点在于:
独家通杀思路:我将毫无保留地分享自己发现的通杀思路,让你在挖洞之路上少走弯路,学到即可上手刷分;
举一反三:学会自己生火做饭好过一直走别人铺好的老路,我将带你拓展思维,学会自己发现通杀思路;
触类旁通:低中危漏洞如何升级成高危漏洞,其实也是有一定技巧,这些我都会在课程中无保留分享。
无论你是初学者,还是已经有一定基础的“挖洞人”,这套资料都能为你提供全新的视角和灵感。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
评论前必须登录!
注册