从事安全职业十余年,简单总结下过去经历。
高中 VB,应对考试而已。
大学北京化工大学生物功能材料,真的入计算机行业靠自学 Flash 动画及编程,然后是网页编程,这个经历让我之后从事了 Web 安全。
大学期间最刺激的是天天和病毒在对抗,加入了校网络中心,维护一栋学生宿舍的网络安全,在学校论坛(花样年华)上发布了一些自己写的病毒专杀和不少解决方案。帮助了不少同学和老师,并顺手拿整个学校练手黑技能。大三大四拥有一间机房的管理权,没事都睡里面开各种脑洞。
毕业前,北京化工大学西门一家韩式烤肉店,知道创宇两位创始人和我聊天,一顿饭功夫,我就加入了知道创宇,跟随创业到去年底宣布离职,出来准备做另一番事业。
毕业前从病毒对抗转到玩 JavaScript 安全,写了不少 XSS 蠕虫,毕业后写了可能是当时这个世界第一只 Flash CSRF 蠕虫在饭否里传播,然后去了阿里道哥举办的精武门安全会议做了这个分享,这是人生第一次对外演讲,2008 年底。
挖了全球各大社交网站、邮箱的 XSS/CSRF 漏洞,2008 年独立完成一个国家相关课题研究,这份研究报告为后来我和 xisigr 写的《Web前端黑客技术揭秘》带来了原始沉淀。
2009 年创建了 XEYE Team,至今维持 10 个人,里面的故事以后再提。
进入职场,在 watercloud(知道创宇的创始人之一) 和一些前辈的指引下,开始学 Python,从爬虫开始,爬了 500 多万全国域名,作为核心参与进当时可能是全国第一套网页挂马监控平台的研发上,第一次上手大并发系统,后期我负责不断完善与运营这套系统,受益终生。
2010 年,去香港的一个安全会议分享了一个演讲和一场培训,之后的交流,让我对“工程师”三个字充满了敬畏,至少当时我觉得我得对得起“工程师”这个称号(当时我的名片是“研发工程师”)。
之后参与漏扫系统的核心开发,这是第一次让我受挫的系统,因为开发之前过于乐观,好的漏扫真不是个容易活,而垃圾漏扫满世界都有。
2013 年,组建一只几人小团队,突击设计与研发要对外发布的 ZoomEye(钟馗之眼,网络空间搜索引擎),这是一个令我着迷至今的大系统,就刚刚我还在下发新的指令,不过不是对 ZoomEye 了,因为我已经不在知道创宇。
在知道创宇发展顺利,在技术副总裁这个头衔上做了两年,带了不少团队,来来去去,去去来来,最终我也离去。
历史上做过十多场对外安全演讲及安全培训,一直在坚持着黑客自由分享的精神。在这些过程,想搞个大新闻机会太多,但也都仅仅是“Just for fun”,因为那些大新闻不是我的追求。
我追求的东西现在还没必要提,内心中的那股火苗迟早有适合它蔓延的草原。
这就是我,一个对黑客攻防技术充满痴迷的人。
实战派、不废话。