2022 February 08 PageView:

2021年SRC漏洞挖掘小结

SRC初尝试

2021年因为一些机缘巧合，跟同事借了一台深信服的设备进行测试。那段时间深信服给的漏洞奖励都还挺高的。

平时工作也比较忙，下班之后花了一点时间挖了Web的常规漏洞，大约前后花了1-2周时间，最后挖掘到5个漏洞。

其中一个A类产品的高危漏洞，4个B类产品的中低危漏洞。共1800积分，1积分10RMB，共1.8w。

根据深信服SRC的规则，当年提交大于1000积分即可免费参加SRC年会。最终年会定在了成都。

深信服包了往返机票和酒店，及第二天游玩的门票。听他们工作人员说我们住的酒店都是原价预定的，差不多2k RMB一晚，感觉他们办的还是很用心的。

宣传画

当天的场景

第二天上午我们去了西岭雪山游玩，西岭两字，来自杜甫的“窗含西岭千秋雪，门泊东吴万里船”这句千古名句。

在我之前的职业规划文章里，提到了作为网安从业者，应该从多个方向去探索，写文章，挖src，挖cnvd，写专利等等。2021年我在挖掘src方向向前迈了一步，收获确实很多。另外就是深信服准备的这个“HACKING PARTY”确实还是挺震撼我的。

挖掘SRC看上去好像来钱非常快，我的实际感受是背后还是要花很多时间在漏洞挖掘上。漏洞都是单点的形式呈现，但是你做的测试却是要从面上去覆盖。另外你能挖掘的漏洞，很多时候别人也会，你不会的漏洞无论如何也挖不出来，这时候就要持续不断的更新挖洞的类型和技巧。这背后要花的时间，不是一时半会能完成的。

无论如何，在SRC方向有个小的突破，确实让我感受到快乐。