这是一个创建于 2722 天前的主题,其中的信息可能已经有所发展或是发生改变。
9 月中旬离职了,到现在都还没找到工作 离职期间也都在投简历,但是面试邀请收到的很少 大部分工作要求 2-3 年的工作经验,但是我只有 1 年的工作经验 自我感觉除了项目经验略低,其他的技能点都还不错 比如代码质量啊,思维逻辑什么的(和之前公司里面的程序员比较起来说)
当然也是有收到一些公司的面试邀请 但是最终都没能面试上 发现自己嘴巴不是特别会说,如果面试官问一些技术上的问题还好 但是问道类似人生规划,梦想,以后准备...这类的我就会懵逼
上周也去了一家公司面试,面试期间感觉还行 期间讲过自己会一点网络安全和渗透方面的技能 但是因为那个面试是当天就约到后去的 时间匆忙,没有对他们公司进行一些安全检测
面试完后,回到家就对面试的公司官网进行了一些简单的检测 发现了几个重大的漏洞吧
- 任意账户密码修改漏洞
- 任意文件上传漏洞
第二个漏洞直接就把公司官网的服务器也拿下了
第二天就给面试的公司打电话,最后联系到了昨天的面试官 然后是通过 QQ 的远程桌面给面试官演示了我上面发现的两个漏洞 当时我感觉面试官应该会满脸惊讶;) 但是面试官说给我看这个漏洞干嘛......
妈蛋,今天我又去那个公司官网看了下 居然还没修复我说的漏洞 而且我测试的时候上传的木马都没有删(免责声明:本人只是检测漏洞,并未通过漏洞进一步获取网站内容进行任何牟利行为)
哎,话说这家公司面试的时候 聊得还可以啊,而且我都把他们网站发现了几个高危漏洞 这也不要我...
不算其他的,如果这类网站去白帽众测的话 拿到服务器的漏洞,应该可以拿接近 5k 了吧...
这都快两月了,还好中间接了点爬虫单子 勉强维持生活
所以我想问问各位前辈 像我这种工作经验略低的程序员怎么才能找到工作?
个人博客:( http://www.wd0g.com) 邮箱:[email protected](0 是数字哦)
如果有成都的大大要招 php 的,可以联系邮箱哦 感谢!
第 1 条附言 · 2016-11-05 13:22:18 +08:00
文中所讲到的安全部分并不是用来炫耀的,而且也没什么值得炫耀的地方
第 2 条附言 · 2016-11-05 13:23:00 +08:00
我博客用的证书就是沃痛的...我也对 linux 不是很熟悉
第 3 条附言 · 2016-11-05 13:37:08 +08:00
各位大大说的我也不好意思了...
宝宝会努力的;)
宝宝会努力的;)
第 4 条附言 · 2016-11-06 18:30:34 +08:00
证书已经去掉沃痛的了...
 |
1
cxbig 2016-11-05 00:29:44 +08:00
你干嘛要跟不识货的公司死磕。。。
|
|
3
cxbig 2016-11-05 00:43:32 +08:00
@WWd0g 先别怀疑自己的能力,你只是没找对平台。你有没有试过远程 Freelancer 模式?英语沟通能力如何?可以试试国外的自由职业者平台。
|
 |
5
ranwu 2016-11-05 00:45:39 +08:00
熟人
|
 |
6
WWd0g OP @cxbig 这个就是文中讲到的任意文件上传漏洞 https://www.wd0g.com/?p=138
|
 |
7
tinyproxy 2016-11-05 00:46:05 +08:00
之前乌云那事应该还有人记得吧,你这算不算人赃并获。
祝找到合适的工作。 |
 |
12
sobigfish 2016-11-05 00:52:19 +08:00
lz 可以先检查下 blog 里的文章, https://www.wd0g.com/?p=108
你干嘛要用别人的脚本安,还是 777 权限给目录 你 blog 里也提 非最小权限的危害,但自己还是没有最佳实践 |
 |
13
misaka19000 2016-11-05 01:03:07 +08:00 via iPad
我只要上传的文件不位于服务器下能彻底杜绝这种漏洞吗?使用单独的静态资源服务器来保存上传的文件。
|
|
14
cxbig 2016-11-05 01:45:18 +08:00
@misaka19000 LZ 说的这种漏洞太低级了,随便一个框架都有机制杜绝这种事情。
上传文件都能搞定,只能说他提及的这个公司太差了。 哪怕不用框架,做一个后缀检查或者 mime_type 就能搞定。 |
|
15
sobigfish 2016-11-05 01:48:46 +08:00 via iPhone
@misaka19000 单独静态是可以(如果不会被 copy 或者读取的情况下 比如你想读了然后缩放万一有漏洞还是不能完全保证 oss 可以
检查 mime 然后目录没有运行权限也能防止一些 to lz 我还见过 CHRO 教底下的 hr 的面试题什么是主键 什么是外键的奇葩呢 (奇葩的是他们的程序 数据库 mysql 里完全看不到外键) 你也许可以关注一下运维安全方面的工作 |
 |
19
franklinyu 2016-11-05 08:10:58 +08:00
@sobigfish {{12L}}: 那篇博客,我補充一下:
1. <code>chmod -R 777 /server</code> 這行裡面 <code>/server</code> 應該改成 <code>./server</code> 否則改的是根目錄下的 <code>server</code>。 2. HTTPS 證書是自己簽的吧…… 還不如沒有 TLS 呢。 |
 |
20
zachlhb 2016-11-05 08:20:32 +08:00 via Android
同是 PHP 没找到,感觉现在随便一个公司都要求高,一个几人的公司,要千万级 pv 开发经验,我去,也不想想自己能不能达到,现在有点不想找了,自己做项目不是更好,干嘛非要去看那些臭老板的逼脸
|
 |
21
dennyzhang 2016-11-05 08:30:44 +08:00
|
 |
22
imcxy 2016-11-05 08:36:05 +08:00
现在的网站技术已经很多年了。该占位的公司都占了,该垄断的垄断了,每年几百万毕业生。。。不是你不够好,而是挑选余地太多了,走移动端吧。机会更多点~
|
 |
23
falcon05 2016-11-05 09:54:36 +08:00 via iPhone
这个漏洞太 low 了,这样的公司不去也罢
|
 |
24
abcbuzhiming 2016-11-05 10:13:50 +08:00
楼主,下次别这么干,人家不理你是轻,人家要是报警了你就掉的大
|
 |
25
jellybool 2016-11-05 10:35:16 +08:00
|
 |
26
Sunyanzi 2016-11-05 11:20:41 +08:00
通篇都是在抱怨这个世界不识货自己这么牛逼找不到工作 ... 所以你开的多少月薪说来听听 ..?
还有 ... 职业方向呢 ..? 口口声声说要做 PHP 却一直在讲自己的安全实力 ... 所以你还要不要开发 ..? 至于标题的问题 ... 或者你独行于世 ... 或者在你觉得别人都傻逼的时候先停下来看看自己 ... P.S. 不用沃通的证书难道还没有成为一个常识吗 ... |
|
27
WWd0g OP @jellybool 这是微博 sdk 里面写的代码,我直接 copy 的当时只是测试下,没太注重质量
|
 |
29
helihuo 2016-11-05 12:27:00 +08:00
沃通证书。。。。我这里直接拦截了
|
 |
30
q397064399 2016-11-05 12:34:34 +08:00  2
@WWd0g web 狗那点东西 说实话,拿出来炫 真搞安全的笑掉大牙了,搞开发的不是不注重安全,而是国内大环境就是
中小公司根本不注重这些玩意,你哪怕是把人家整个内网服务器全拿下了,人家技术主管也不会鸟你,真的触及到对方利益的话 直接就报警了,上次某云那位仁兄, 32 岁的大叔了 居然还想搞个大新闻,结果呢?把自己送进去不说,还害了家里的父母亲 上传漏洞这玩意,其实很多年前就有了(最早有 fckeditor 以及很多著名的在线编辑器 asp 有动力论坛之流), 最保险的办法 就是文件全保存为 二进制 不留后缀,将后缀名写进数据库,在返回的时候 通过 IO 写进 http 输出流 |
 |
31
elvba 2016-11-05 13:13:34 +08:00
@WWd0g 做开发和搞安全是两个不同的方向啊,做事的时候这俩的思路都不一样……
别人招你是去做开发,以及说公司规模稍微大点,有安全要求的项目,上线的时候都有专门的安全部门做安全测试 |
|
32
Sunyanzi 2016-11-05 13:16:26 +08:00
@WWd0g 并不矛盾但是要分清主次 ... 掌握安全技能自然是极好的 ... 但首先你开发实力要过硬 ...
以及一年经验 5k 这价格并不过分 ... 成都居然惨成这样了我也是没想到 ... 所以现在的建议 ... 在简历里写几个自己之前独立完成的项目 ... 然后勤投投吧 ... |
|
33
WWd0g OP |
|
35
q397064399 2016-11-05 13:40:52 +08:00
@WWd0g 不是炫耀安全,而是 现实是 安全根本就不是一回事
|
 |
37
fatesb 2016-11-05 14:07:35 +08:00
可以转渗透
|
 |
38
dsphper 2016-11-05 14:21:48 +08:00
这 tm 是什么公司,对技术根本就不重视好吧?随随便便黑盒就能找到这么明显的漏洞?我擦,这 tm 明显公司人就不 care 安全嘛!!!
|
|
39
dsphper 2016-11-05 14:22:08 +08:00
千万别去!!!
|
 |
41
dabpop139 2016-11-05 15:34:09 +08:00 via Android
不用太焦虑,总有一段时间是迷茫的过了就好了。
|
 |
42
zz 2016-11-05 15:54:07 +08:00 via Android
只能降薪了
|
 |
46
lan894734188 2016-11-05 16:47:59 +08:00 via Android
广州一样 很多出 1k 的 都不让人活了
|
 |
48
exalex 2016-11-05 17:59:22 +08:00
@lan894734188 出 1k 是什么鬼。。。
|
 |
49
bramblex 2016-11-05 18:00:59 +08:00 via Android
不错啊,挺有前途的啊。
问题不在炫不炫安全,而是光有这个意识就很不错了。这跟安全无关,而是跟有没有想把东西做得更好的意识有关。 以前我面试 php 程序员的时候,面试了半个月才有一个能把一个 http 从请求到响应都干了啥说清楚的,心塞… |
 |
50
dko 2016-11-05 18:38:56 +08:00
两个漏洞不值 5K 。
|
|
51
lan894734188 2016-11-05 18:49:36 +08:00 via Android
@exalex 50 块钱一天…
|
 |
52
lianxiaoyi 2016-11-05 19:13:59 +08:00 via Android
官网而已!都是随便找的 cms 改改而已!只要没被拿去挂广告就行!
|
 |
54
m2shad0w 2016-11-05 22:39:53 +08:00
可以来杭州。。
|
|
55
cxbig 2016-11-06 08:36:46 +08:00 via iPhone
@lan894734188 广州哪家公司 PHP 开一千?搞笑呢吧?只会 MS Office 也不是这个价啊……
|
|
56
cxbig 2016-11-06 08:42:18 +08:00 via iPhone
@dennyzhang 在国内的时候大部分时间都是 Freelancer 的状态,个人觉得这种工作方式更锻炼人。
|
|
57
dennyzhang 2016-11-06 11:42:56 +08:00
@cxbig 是锻炼人。但是工作才一两年,没有养成良好的工作习惯和思维模式。会走很多弯路吧。
|
 |
58
yoke123 2016-11-06 15:17:25 +08:00
厉害啊 我的哥 跑这上面来了 (滑稽)
|
 |
59
huai 2016-11-07 10:33:51 +08:00
爆裂狗?
|
 |
60
cultivator 2016-11-07 11:10:04 +08:00
虽然不是 PHPer ,但是翻了翻你的博客,感觉没什么亮点,对于一年的程序员,公司可能更看中的是你拥有一个扎实的基础。
|
 |
61
timestamp 2016-11-07 14:43:59 +08:00
没事学学写框架或者商城,有自己的东西比较好证明实力。祝楼猪早日找到满意的工作!
|
 |
62
Jakesoft 2016-11-08 00:08:13 +08:00
所别字看着好难受,沃痛 -> 沃通
|
 |
63
ahkxhyl 2016-11-11 18:56:34 +08:00
我玩了 4-5 年入侵类的~~~~ 现在没玩这个也 4-5 年了~
|
|
64
ahkxhyl 2016-11-11 19:05:04 +08:00
burpsuite ?
|
Select Language