ooooooih的博客

1148857344 Quettabytes，这个量级可能很多人没有概念

这个网站汇集了超过500个网络安全相关的面试题目，题目基本上都是选择题，你在回答正确后会随机给出下一道题目。

我自己作为一个软件开发，最讨厌听到一句话就是“帮我配一台电脑吧” “我电脑坏了，帮我看一下”， 所以我也很好奇，作为一个网安从业者，一个外行人眼中的神秘职业，当别人知道你的职业之后，最经常听到的话是什么？

前段时间看到一个新闻，说是《说是全球缺少350万的安全行业专家》，然后有一堆行业内外的朋友表示，那这个行业的人才缺口不是很大？我只能说，你想多了，人家缺少的只是专家而已，你以为是缺少的一挖一大把的底层吗喽吗？

密码管理器NordPass分析了来自公开来源的超过4.3TB 的密码数据，找出了当前为止（2024年）最常用（最脆弱）的密码。

臭名昭著的黑客IntelBroker在5月8号声称入侵了一家顶级的网络安全公司，并且以2万美元出售该公司的访问权限，包括：机密日志、SSL密钥、PAuth身份验证和SMTP访问权限等关键数据。

好消息是今天周五了，坏消息是明天还要上班！如果周一上班的难受程度是10的话，那今天的难受程度已经达到了100（爆表了！今天就吃吃瓜，搞搞娱乐吧，正文今天我也不想写，估计也没人愿意看。原本是想看看海外网安同行们是怎么吐槽加班的（毕竟大家都难受，那就感觉又没这么难受了。结果看着人家的工作时间，给我看破防了。提问：是真的吗？网络安全专家总是压力重重，而且网络安全的工作没有工作与生活的平衡？

在5月2号，移动安全公司Oversecured在一份分享的报告中表示：“小米设备中的应用程序或系统程序的漏洞导致使用系统权限访问任意活动、接收器和服务，使用系统权限盗窃任意文件，以及泄露手机、设置和小米账户数据。一些值得注意的缺陷包括影响系统追踪应用的Shell命令注入漏洞，以及应用设置中的缺陷，这些缺陷可能导致任意文件被盗取，以及泄露有关蓝牙设备、已连接的Wi-Fi网络和紧急联系人的信息。

​我之前在分析海外的就业环境的时候[海外安全行业工资水平怎么样？]，一度以为外国的月亮就是圆，那工作机会，那工资待遇，不比国内强太多了？然而实际上并不是。

​海外搞安全的工资这么高[海外安全行业工资水平怎么样？]，非常好奇他们面试都问一些什么问题，于是又顺便去搜索了一下，看看难度怎么样？

AI大模型已经出来这么久了，我日常在本职开发过程中已经基本离不开它了，CoPilot只能说是神器，最少提高了我30%以上的开发效率！于是乎我把主意打到了挖洞上面，没道理它能提高我的开发效率，不能提升我的挖洞效率啊，我不相信（不允许！）会有这么不科学的事情发生。

作为一个开发，为什么会去关注安全行业的工资水平呢？还是海外的。起因是我最近不是想挖海外的SRC嘛，在查资料的过程中，发现了某网站上的一个讨论话题，话题我记得是bug bounty hunter earning， 下面聊的大概就是大家全职或兼职挖洞（bug bounty hunter）大概赚多少钱。

最近有一个群友在挖海外的漏洞平台，赚的都是美刀，可把我羡慕坏了。但是和别人也不是很熟悉，不好打探别人的赚钱秘诀，只能自己去查资料了，下面总结一下我找到了一些漏洞赏金平台，以及它们各自的一些特点。