以下的问题来自weibo问答,侵权即删
想问下P神,你关注的twitter,微博,facebook安全研究人员,谁对你的影响最大,为啥?另外P神平时一天在安全上花多长时间,平时工作上所用到的工具除了自己写的如何去除后门的,还是直接在虚拟机运行?
学安全技术(只聊技术,至于成长路上给我很多帮助的人我就暂不提了)的路上对我影响最大的有几个(批)人,我说的可能有点偏题,因为其中大部分不玩twitter,微博或facebook。
首先要数西电信息安全协会的几位前辈与会长,但是大多数没有微博(也可能是他们的微博和twitter只是用来潜水)。其中,第一位是我上大一时候XDSEC的会长,我们叫他王总,他带我开始学C和Windows编程,我那么一点微博的开发基础基本都是那时候沉淀下来的;第二位是我上大二时候XDSEC的会长,冷夜@le4fhttp://le4f.me,他带我走向Web安全不归路,我也是从那会开始慢慢开始研究一些Web漏洞。
他们带给我的不仅仅是技术上的帮助,更主要的是给我指明了方向,铺了一条路。包括协会里其他朋友,平时经常待在实验室,也不是说聚在一起研究什么很厉害的技术,大家虽然都还是各自做各自的事情。但已有问题回头就能和其他人探讨解决,这种环境不是在哪都能有的,更加庆幸的是,这些人都是良师益友。
打我影响比较大的,还有以前有个叫Webvul的群里面几个一起学习的小伙伴,比如@雨了个雨(就是乌云社区里面的雨),还有tomato,roker等等,群早就解散了,他们可能也忘了。但学代码审计的时间段里,没有他们我是绝对学不来的。
还有,@Mramydnei https://twitter.com/mramydnei , 带我如前端门。现在的我,虽然我不能说很懂前端安全,但至少我对前端的漏洞有一定认识了,在此之前我对编码、js之类的知识乱的一踏糊涂。
还有,twitter上的@filedescriptor https://twitter.com/filedescriptor ,他是带我见识外面世界的人。在交流过程中,我在他身上看到了很多以前都想不到的思路,在他的推荐下学了很多东西。
还要,@索马里的海贼,好像也没微博,但这货的代码审计确实很厉害,跟他学了不少东西。
最后,说下twitter上早期我关注的,对我启发很多的大佬:
https://twitter.com/0x6D6172696F
https://twitter.com/garethheyes
https://twitter.com/kinugawamasato
https://twitter.com/insertScript
我在学校的时候,每天在安全上花的时间,至少10个小时吧,因为也没什么别的事了。
- 我用工具不多,一类是国外开源并且用的很多的,这类工具基本也不怎么检查,我就直接用了;
- 第二类是apt-get或brew直接可以安装的,我也是装好了直接用;
- 第三类是一些非开源工具软件,如photoshop、dash、navicat、office之类,能买就买,买不起就找同事和同学要破解版,52破解也会去下;
- 第四类是Github上一些小型的开源程序,比如lijiejie写的subDomainBrute这类,我大致看一下源码,但也不会看的很仔细,基本会相信作者,毕竟很多人也都认识;
- 第五类,网上一些小的exe这类2进制软件我用的极少,基本不用,如果有的必须用的(比如菜刀),我有个小虚拟机,win7的。不过想菜刀这种程序,如果我没有,我通常会找认识的机油把他们的要过来。