在运营了一年的前端安全小组之后，发现前端安全还是脱离不开 web 安全这个大方向。因为目前不管在甲方乙方几乎都不会设立一个专门的前端安全职位，作为一个 web 安全研究者，前端安全中的 xss、csrf 等，后端中的 sql 注入、文件上传、反序列化等等攻击手段和相应的防御手段，都是需要掌握的。所以今天我们将前端安全小组升级为 web 安全小组，拓宽了大家的讨论范围。而在这一年的时间里，我个人的技术栈也从前端扩展到了后端，我也有信心能带领好一个交流 web 安全的小团队。

在这一年的运营经历中，我也在不断优化运营策略，力求每一个团队成员在不影响工作学习的前提下，参与小组的活动。经过反复思考，我决定这样来运营这个小组：

1、每隔两周我会在小组群里发布一次任务，第一周组员在经过思考后完成任务并提交，由我整合大家的答案，在第二周抽一天进行 20-30 分钟的线上头脑风暴，讨论每个人的答案的正确与否，讨论明白为什么对，为什么错。我认为在这个过程中可以帮助大家纠正一些以往的错误认知，并且学习到新的知识。

2、实行淘汰制，如果连续三周没有提交任务，就要被请出小组了。我也希望大家不要忘了加小组的初心，不要因为懒惰而改变了初心。

3、定期组织线上议题演讲分享会，每个人轮流展示自己最擅长的方面，没什么比学习他人的长处进步的更快的了

4、如果在学习中碰到任何百度不到的问题，发在群里，其他人尽力回答，交流讨论。

5、如果有其他运营方面好的建议，也欢迎向我提出。

组长介绍

ID：晚风

职务：信安之路作者团队成员、信安之路 web 安全小组组长

工作：之前为某科技公司安服实习生

作品汇总：

我是如何找到 Google Colaboratory 中的一个 xss 漏洞的

安全开发之 token 那些事

轻松理解 X-XSS-Protection

同源策略与跨域请求

金融黑客的惯用手段 MITB

XPath注入：攻击与防御技术

用powershell下载文件的姿势你研究过吗？

【作者投稿】十分钟带你了解XXE

浅谈Session机制及CSRF攻防

XSS学习笔记【二】

XSS学习笔记【一】

加入小组要求

满足以下任意一点即可：

1、目前正在从事或曾经从事过 web 安全相关工作

2、打过 ctf 并获奖

3、任意一个 src 里提交过中危及以上的漏洞

4、正在学习 web 安全知识，并准备从事 web 安全相关工作

编辑简历（自我介绍+擅长方向（如 php 开发、代码审计、前端安全、src 等等）+加入组的原因） 发送到：[email protected]