在运营了一年的前端安全小组之后,发现前端安全还是脱离不开 web 安全这个大方向。因为目前不管在甲方乙方几乎都不会设立一个专门的前端安全职位,作为一个 web 安全研究者,前端安全中的 xss、csrf 等,后端中的 sql 注入、文件上传、反序列化等等攻击手段和相应的防御手段,都是需要掌握的。所以今天我们将前端安全小组升级为 web 安全小组,拓宽了大家的讨论范围。而在这一年的时间里,我个人的技术栈也从前端扩展到了后端,我也有信心能带领好一个交流 web 安全的小团队。
在这一年的运营经历中,我也在不断优化运营策略,力求每一个团队成员在不影响工作学习的前提下,参与小组的活动。经过反复思考,我决定这样来运营这个小组:
1、每隔两周我会在小组群里发布一次任务,第一周组员在经过思考后完成任务并提交,由我整合大家的答案,在第二周抽一天进行 20-30 分钟的线上头脑风暴,讨论每个人的答案的正确与否,讨论明白为什么对,为什么错。我认为在这个过程中可以帮助大家纠正一些以往的错误认知,并且学习到新的知识。
2、实行淘汰制,如果连续三周没有提交任务,就要被请出小组了。我也希望大家不要忘了加小组的初心,不要因为懒惰而改变了初心。
3、定期组织线上议题演讲分享会,每个人轮流展示自己最擅长的方面,没什么比学习他人的长处进步的更快的了
4、如果在学习中碰到任何百度不到的问题,发在群里,其他人尽力回答,交流讨论。
5、如果有其他运营方面好的建议,也欢迎向我提出。
ID:晚风
职务:信安之路作者团队成员、信安之路 web 安全小组组长
工作:之前为某科技公司安服实习生
作品汇总:
我是如何找到 Google Colaboratory 中的一个 xss 漏洞的
满足以下任意一点即可:
1、目前正在从事或曾经从事过 web 安全相关工作
2、打过 ctf 并获奖
3、任意一个 src 里提交过中危及以上的漏洞
4、正在学习 web 安全知识,并准备从事 web 安全相关工作
编辑简历(自我介绍+擅长方向(如 php 开发、代码审计、前端安全、src 等等)+加入组的原因) 发送到:[email protected]