本文作者：晚风（信安之路 web 安全小组负责人）

2019 马上要过去了，回首这一年里，自己做的事挺多的，但也由于精力分散了，花在信安之路上时间比较少，对良哥有点小小的歉意。我先来说一下我今年做了哪些事情。

今年年中我在某科技公司担任安服实习生，期间刚好赶上 hw 时期，作为蓝队参与了国家级和省级 hw 行动，成功溯源到来自不同攻击方的多位攻击者，保证客户不扣分的同时赢得了数千分的加分奖励。

其实在真实的演习中也发现了很多亟待解决的、很现实的问题。比如面对短时间内数百万条安全设备的告警，蓝队安全人员该如何去分析、处理；面对一起攻击事件，该制定怎样的应急响应机制来保证最快速、最有效地应对等等问题。

以及针对不同的甲方爸爸，还得结合他们的安全水平给出不同的建议。像金融类甲方，对安全问题比较重视，安全设备也比较齐全，边界的防御也做得比较好，这时候攻击者一般会从社工方式入手去撕开一个口子。

在今年社工、鱼叉攻击明显增多了，攻击手法狡猾了很多。我曾听过一个段子，攻击者第一天对目标企业的员工发送一封钓鱼邮件《对 8 月工资的说明》，很多员工点开邮件中招了，当天企业就对员工组织了社工培训，说明了这封邮件是钓鱼邮件，以后看到类似的邮件不要点开，员工纷纷表示明白。第二天攻击者又发送了一封邮件名为《昨天的培训材料》，附件是伪装成 word 文件的木马，依然有很多员工点开了，再一次中招。这就很无奈，防不胜防。我们有理由相信，以后的演习中，攻击手段会更隐蔽、更猥琐，我们还是要加强学习，不断应对新的攻击手法。

年末的时候和几个朋友一起成立了名为 nepnep 的 CTF 战队，一起打了 nctf 和安洵杯等比赛，也拿到了不错的名次。但是感觉我好菜，没做出几个题，队里有挺多大佬，带我躺的很舒服。

其实打打 CTF 也算是平时练练手，对自己技术能力的一种提升，虽然和渗透工作比起来，一道 CTF 题的考察的技术点显得有点单薄。比如一道 CTF 题可能就单单考察文件上传绕过或者 SQL 绕过这一个知识点或者多个 trick 的叠加，但渗透的话需要综合应用多种手段来打到最终目标，这是我自己的一种感受。所以 CTF 还是适合训练技能。

小组内的成就和感想

先说小组今年的成就。今年国庆后 web 安全小组才组建完成，到发稿时成立了两个月的时间了。成员数增加 50 人左右，现成员数 70。是个比较大的小组。到目前为止群内做过两次视频分享，一次不定期任务。这边我介绍一下“不定期任务”这个活动，就是我会不定期在群内发布一些题目，来帮助成员学习、加深巩固这个知识点，也可以纠正以前对某个知识点的错误认识。里面的解答是我后面讲解的时候加上的。以下是第一次任务的内容和成员上交的作业情况

至于文章的话目前还没有一篇成品的文章，在接下来的时间里我也会尽我所能帮助每位小组成员来完成一篇属于自己的文章。

要说感想的话感觉小组内的讨论不是很积极，活跃度不高，这也是我明年要尝试解决的问题之一。

小组明年的规划和自己的计划

在运营 web 安全小组的过程中，为了能让小组成员提升参与感，我也开发了一些创新项目，算作明年的规划当中

1、翻译平台：翻译国外优秀的漏洞案例，如 hackerone、bugcrowd、google zero project 等项目。学习国外前沿的挖洞姿势来增强自己的挖洞能力。平台目前在开发当中。开发完内部试运营，后期会对外开放我们的翻译成果。

2、每日一题：每天在群内发布一题面试题或者基础题，小组内一起讨论，思维碰撞，相互学习。

我自己的计划：之前对一些攻击手法学的不深入，明年打算深入学习一些攻击手法，加强代码审计方面的能力，希望能挖到属于自己的 0day。也祝各位师傅们在新的一年里越来越强，实力更上一个台阶！