0x00 近一个月去完成的事

• 真正的感受到参加CTF那种热血和趣味
• 接触到更多志同道合的小伙伴
• 有规律的作息

0x01 杂谈

在自我管理方面：

 Todo确实可以提高我自己的专注度，但是在设置Todo的目标上还要做一些减法，看起来Todo的一个简单小目标，完成的过程中总会遇到各种坑，过多的目标和踩坑拖延时间，会导致自己变的焦虑；

 有趣的恶性循环：

过度的目标 ➔ 焦虑 ➔ 失眠 ➔ 晚睡早起 ➔ 寻找解决方法（刷B站，牛客，知乎等） ➔ 重新设立目标（上一个未完成）

在学习&专注方面：

  学习了一段时间想检验一下自己，看到默安在招实习生，然后就想尝试一下，不得不说内推的效率真的高，第一天投简历，第二天就直接来了两面，这次有进步的地方，比前几次面试心理上放得开很多说话也流畅了许多，想起来第一次面试的时候，说话都磕磕绊绊，异常紧张和兴奋。

 有趣的面试问题：

 一面问我，“如何最快的检测一个网站是否存在SQL注入？” 心里想：那肯定是Sqlmap一把梭啊，手动注入的话，查看网站CMS有无现成源码，然后代码审计关键登陆，我当时说了个就加特殊符号看有无报错😅。

 二面老哥，很着急的样子，讲了一下XSS反射性，存储型的原理和危害，然后问我区别是什么 ➔ 一句话总结：存储型 XSS 的恶意代码存在数据库里，反射型 XSS 的恶意代码存在 URL 里。我当时虚头巴脑的讲了一堆危害不同？😐现在反思一下，学习完应该多总结一些学过的东西，不然跟别人讲出来也是乱七八糟的。

 后面就是SQL注入，CSRF原理啊，巴拉巴拉，然后问我 CSRF和XSS反射性的区别是什么？我当时愣了1s 说xss是通过浏览器，CSRF是通过URL？回想一下说的不对。一句话总结：XSS 利用的是网站对用户（输入）的信任，CSRF 利用的是网站对用户网页浏览器的信任 后面说什么让我走流程，然后就没了音讯，盲猜GG了🤪。

• XSS反射性：恶意脚本本身是作为请求参数发送到站点页面存在漏洞的地方（通常是搜索框），然后脚本反射（出现）在新渲染（或者部分刷新）的页面并执行

• CSRF 是 Cross-Site Request Forgery (跨站请求伪造)，CSRF 攻击 通过伪装成受信任用户的请求来利用受信任的网站 ，不管使用什么方法只要是伪造用户发起的请求都可以称为 CSRF 攻击。

 综上，面试的过程，通常还是看对 基础知识和原理 的理解和总结。常用的注入工具也没怎么问，要问肯定也是工具某个命令的原理之类的。倒是我简历写的Docker方面的东西，面试官似乎都很感兴趣，想让我说出一些docker逃逸之类的东西😵‍💫。

0X02 未来一周的Todo

• 尝试去补天，漏洞盒子公益项目挖洞
• 学过的基础知识总结和熟练
• 学习PHP，JAVA后端开发

0X03 激励自己和一些牢骚

好像越来越喜欢安静了，青轴的清脆让我觉得是噪音，不喜欢边听歌边干别的事情，让人感觉烦躁

TK和yaunge的一些话