5月,月神开始筹备第二期的《SRC漏洞挖掘实战班》,他表示:“新的课程太牛逼了,说不定能改变网络安全现状!”
年初开始,月神决定把自己这些年挖洞的经验通过培训分享出来。几乎大部分取得一些成绩的白帽子都会考虑做培训,不管是出于哪方面的考量。月神毫不避讳的袒露,做培训是为了赚钱。但是但凡学员对购买课程表现迟疑,他都会劝说学员再考虑清楚,甚至放弃。
「因为我希望能进入这个行业的,都是真心喜欢这个行业的人。」
身处其中的所有人明显感觉到这个行业的培训陈出不穷。名气可以转换成流量和财富,也可以招致“割韭菜”的质疑。一段时间,网上一份关于网安培训机构评价的腾讯文档流传开来,用词非常直白,甚至粗暴。月神喜欢参与这种“热闹”,他乐呵呵的把自己的名字标注上去,然后写道「没事,我是月神,大家畅所欲言」,末了似乎没过瘾,继续补充「没人喷我自己来吧,只会点业务逻辑漏洞,到处嘚瑟。」
以下,是月神讲述他第一次开办培训后的心得感受
刚开始办这个培训的时候,你们还老是担心我的定价太高,报名的人不多。你看,事实打脸了吧。哈哈~
我对自己挺有自信的,先不说我的成绩和名气在这里,只说这个课程内容,我也能保证这是在外面绝对看不到。反正有人来问我,我和别的老师的课程哪个好,我都是给他们推荐别的老师的课程,我觉得能问我这种问题的没什么眼光,不适合做我的学员~😊~
第一期培训开得挺圆满的,我也挺开心。每次原定1个小时的课程,结果大家都不愿意下课,我们的课程进度就快了好多。有些完全0基础的同学也回本了,有些同学挖到了src排名,也有些同学说学习后对代码审计和ai也同样适用,因为逻辑是通用的。大家切实从这个课程中受益,我觉得就值了。
第二期我们的课程在原来的基础上又升级了。第一期核心的内容会保留,然后增加三部分的内容。
期待已久的“游戏安全”课程来了
游戏漏洞挖掘是一个新赛道,有人问我,是不是我把游戏都挖光了所以出来讲手游漏洞挖掘?
了解我的白帽子都知道,我这个人很懒,平时没事就喜欢躺着看电影解说,挖掘游戏漏洞完全是为了锻炼思路,我喜欢那种边玩边挖洞的过程,不枯燥。所以在拿到TSRC年终奖证明自己“宝刀未老”后,就没怎么挖游戏漏洞了,继续躺平。
游戏漏洞对于SRC漏洞挖掘来说是一个巨大的缺口,目前很多厂商都有游戏业务,但是能挖掘游戏漏洞的人寥寥无几,更别提能挖到很多漏洞了,所以目前市场上,游戏漏洞竞争没有那么激烈。在第一期培训结尾,我给学员讲了2节课,第1节是工具如何使用,第2节是挖掘漏洞的思路。
这是学员挖掘tsrc游戏漏洞的一小部分截图,所以我打算在第二期将游戏部分进行一个深入讲解。
而且挖游戏漏洞不需要很深的基础知识,工具很简单,我们挖掘的是业务逻辑漏洞,主要靠思路,去找他业务逻辑上面的错误和危害点。
也不需要会逆向、二进制基础,因为我也不会,但是我依然可以吊打国内各大手游厂商,还是那句话,思路才是最重要的。
新增大招——“内存安全”
去年我发现很多聊天软件的聊天记录都可以进行伪造,在这个基础上,又发现很多聊天软件可以越权发消息(把自己的身份改为任意人的身份),随着不断的深入测试我发现对于http以外的协议居然有如此多简单到离谱的漏洞。
为什么十几年来,这么简单的漏洞可以存在这么久?我想了一下,应该是由于传统测试都是使用抓包工具进行测试,而抓到的包无非就是2种,HTTP和websocket包,对于抓不到包的功能,好像大家都没有方法进行测试了。在这个想法的基础上,我决定对各个厂商的app重新来一次检测,检测后惊呆了我,居然全是这种最简单的漏洞,越权使用别人的钱包、越权开启直播、越权发消息、越权踢人。
这些漏洞真的使我震惊了,原来在这些公司内部,也是只针对http的接口做安全测试,对其他协议的接口完全没做过测试,所以我觉得,也许这次真的会开启一个网络安全的新时代,网安从业人员不再是抓包修改参数进行测试!!!
也有人可能会想,等以后技术公开了不用花钱也能学到。这当然可以,只是等技术公开可能一年后了,到时漏洞已经被这些报名课程的学员刷的比较干净了,对于不挖掘SRC漏洞的同学其实可以等以后公开的那一天,并不会有什么影响。
第二期课程彩蛋放送
我会邀请7个头部白帽大佬做不同方向的专题分享,作为彩蛋送给我们的学员。大家应该知道,平时要听他们的专题分享有多难,但是我们课程的学员还可以和这些大佬互动答疑。简单透露一个,这期课程会请到一位大佬,给大家分享AI运用与Bypass思路。相信一定会帮助大家开阔视野,打开思路。
我们的课程是可以终生反复学习的,所以第一期报名的学员真的太赚了,不仅早学早挖洞,还相当于我会一直免费帮他更新他的“子弹库”。
第二期课程手游安全这门课原本定价5888,内存安全的内容其实是我的“秘密武器”,目前市面上绝无仅有,学到就能赚,价值很难估算。但我们最终还是决定,打包第一期漏洞挖掘实战课一起送给大家,四大板块的课程(漏洞挖掘实战课&手游安全&内存安全&Top白帽专题分享)打包价8888,开课前享受早鸟价7888,并且三人成团7288。强烈建议大家提前报名,提前领取课前资料包预习,说不定能提前挖到几个洞,然后还能参与我们开课前的课前分享会。
最近我其实也听到很多唱衰网安行业的说法,我个人的感觉是进入行业的人越来越多,而行业的确是不景气,新增的app很少,更新进度也变慢导致了漏洞越来越少。我觉得还是要有自己独特的技术,虽然大家都说挖洞变难了,但是你看大佬们的收入还是没受影响,受影响的始终是技术不达标的,所以提升自己实力才能不被淘汰。
所以,大家和我一起见证这个新的时代吧,就像我们刚学会抓包时一样,我们一起把新漏洞挖掘一点点完善,相信以后关于新技术漏洞挖掘也可以有很多特殊的挖掘思路。
课程导师
主讲师——月神
● 曾经在某上市公司负责手游安全,百万期权,持续两年外部外挂风险为0个。
● 挖掘SRC共计获得漏洞奖金百万RMB
● 15年手游漏洞挖掘经验、7年业务逻辑漏洞挖掘经验
● 连续6年获得陌陌SRC年榜第一
● 2019-2020年饿了么SRC年榜第一
● 2019年美团SRC年榜第四
● 马蜂窝SRC总榜第一
● 2020年i春秋巡回赛第一名
● 2020年双十一保卫战军长
● 2021年携程SRC年榜第二
● 2022年腾讯SRC狙洞精英
课程介绍
一、本课程面向所有对网络安全有兴趣的群体,0基础,或者在公司上班,懂技术但是不知道该如何挖掘SRC漏洞,有思路,但是不懂业务逻辑。
二、本课程主要以业务逻辑漏洞挖掘为主、游戏安全为辅,课程会从0开始循序渐进,让每一个想进入这个行业的人都能轻松入行。
三、除传统测试外,本次会介绍内存的测试方式,这部分可能会改变网络安全现状,颠覆认知。对于基础依然是无要求。(让未来的安全从业者测试不在局限于HTTP协议)
课程特色
带领网安从业者进入下一个漏洞挖掘时代,对于我们以前束手无策的软件轻松可以挖掘出大量漏洞,并且还会对手游安全进行讲解,带大家深入了解手游漏洞。
课程大纲
课程福利
🌟 一次付费,终身听课;
(本次报名后面开新SRC课都可以免费跟学)
🌟 部分商家平台的测试账号,特权账号让你挖掘漏洞更简单;
🌟 手游漏洞靶场,复现游戏漏洞;
🌟 1V1单独答疑:从报名开始每个学员的问题都会讲解;
🌟 根据作业完成度赠送SRC周边礼品:课后作业,部分课程会布置作业;
🌟 游戏人物内存ID共享:知道ID后可以更快的定位游戏漏洞;
🌟 工作推荐:公司招聘可获得内推资格,让你快人一等。
开课时间
开始时间预计是7月20日,有可能提前开课;
1、 每周预计三节课线上直播课,晚上8-10点,没赶上可以看录播;
2、 录播支持永久可回放。
报名咨询
课程原价8888
7月20日前限时优惠价7888
三人成团7288
报名链接:https://live.freebuf.com/detail/b6fb228de219f6abab0082ddaa0df244
课程详情可加助教咨询
并领取试听课,备注:月神课程
· FreeBuf知识大陆APP ·
苹果用户至App Store下载
安卓用户各大应用商城均可下载
如有问题请联系vivi微信:
Erfubreef121
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...