在某金融单位一年工作心得
前言
在不更新的一个月中,我
"躺平"了 但又不想"完全躺平"都懒的从工作笔记中'复制'与'粘贴'了,我觉得我的职业生涯还长着 可以继续起来学习,我在思考,我来金融单位学了些什么,这篇文章说明了我在金融单位一年中的工作总结和生活杂谈。
我于2021年3月份来到新工作地,在这里绿化真的非常好,住的地方也不错,用一句话形容就是"鸟语花香",吃的就更加不用说了 KFC就在楼下,几乎天天都是疯狂星期四这一年相当于直接给自己来了个"增肌"套餐,肚子都可以用来充当面团了~~(随便吐槽一下)
当然除了体格提升了外,还有技术和交流方面
因为在上一家公司也有业务要求,整理过一份初版的,所以这里就显得方便许多直接提供就行,万万没想到的是内部人员有其他安全公司的,在里面有一个工具是没有的,开发还需要用到C,这里我就非常绝望,早已把C转投php和python现在又让我拿回来??那是万万不可能的,过了1-2天后,转头回来又想....好像最近都没干啥有意义的事~~~~~,然后经过一周漫长的折磨终于把工具折腾出来了,转送门
事件二[M]:每一年轮流给新人培训
这个其实也就没啥好说的,就是拿已经写好的ppt,给研发讲安全的重要性、SDLC、安全漏洞方面的知识、部门框架、办公合规等。如果认认真真讲完基本接近2个半小时~~
事件三[P]:技术培训
自己选个议题然后拿出来分享讨论,结合实际看看是否对企业有影响,2021讲了<PC客户端测试方法><badusb浅谈和使用>
事件四[P]:内部攻防演练
21年这里负责近缘方面的内容,像复制工牌进公司和办公区,无线WiFi钓鱼,丢badusb,开始并不是很顺利,幸好收尾的时候还是有成果交差的
事件五[P]:公司内部IAST和代码卫士
说到这里心塞塞的,本身自己学习Java只是为了可以写
Xposed和小工具就足够了,根本没有学习Java Web的计划,但是又不能推,于是乎又去简单学习了Java审计~~(可以但是得加钱),工作内容就是看一遍IAST的漏洞上git下载代码确认是否有这个问题,在内网没办法搭建开发环境没办法调试和测试稍微复杂点的漏洞是否存在这个问题,每次只能跑去和研发核对某个代码段(这里吐槽下某家的IAST只能通过输入链-传播链-输出看个大概走向,出问题的代码段没有显示出来 只能下代码看一半一半,然而代码卫士就没有这个问题 直接显示有问题代码段)事件六[P]:小工具开发
在工具的第一版还没有这么多功能,为了写好界面学习了原生的swing但是布局过于折磨,在2.0版本使用了JavaFx,并且新增了功能提供自己切换Frida服务端版本的功能(这个过程也挺折磨的,起初想的过于复杂)
事件七[P]:App隐私工具的开发
...
事件八[P]:SDK的规则恢复
...
事件九[P]:公司App抓包和安全测试
可能各位很好奇,为啥
自己要去反自己公司的抓包策略~~是因为研发用的框架(mpaas)问题~开发按照要求对请求处理了,不能因为是安全测试就重新弄一个原生请求的App,所以就会出现需要自己去逆抓包策略写脚本才能进行安全测试事件十[P/M]:和研发扯皮~~
...
事件十一[P/M]:等....
总的来说,过去的一年和今年确实颇为有趣。然而,工作内容较为重复,空闲时间相对较多,任务轻重不一。经过一年半的体验,我发现自己的优势并未充分发挥,大部分时间都投入到了学习之中。此外,我建议在选择工作时慎重考虑外包行业,确保它与个人职业发展目标相匹配。