标题: NSFOCUS旧友记--原西研邓永凯

作者: 邓永凯
创建: 2022-02-18 01:24

《邓永凯的绿盟成长记忆》

感谢绿盟带我进入网络安全大门，陪我一路成长！

* 我也成了绿盟的旧友

我一直都有关注四哥的公众号，之前都是技术文，忽然变成NSFOCUS旧友记了，里面
都是当年进入安全行业时膜拜的大牛，每一篇都有看，前几天忽然收到四哥的约稿，
有点激动，一时间想到了太多有意思的事情，不知道从何说起，所以决定说一下我在
绿盟的成长流水账吧。

* 拿到进入绿盟的门票

第一次接触到绿盟是在我大三的时候，绿盟到学校校招，有个学长作为代表发言，说
在绿盟你能真正明白网络安全是干什么的，而且工资很高(当时工资4250元)，我一下
激动了，我就要去绿盟实习。然后暑假我就去绿盟西安研发中心面试产品测试，刚好
那年夏天是绿盟西研刚成立，才十几个人(现在已经三四百人了)，面试的时候问了我
交换机和路由器的配置，我一气呵成(当时我可是背过CCNA和CCNP的啊)，当时就继续
二面了，西研总监面试，聊起了信息安全管理和职业发展，很high，当时我就觉得成
了，后来没过几天我就去实习了，简直不要太顺利！

* 赌了一把，差点没工作

我在绿盟实习了大半年，快毕业了，大家都去找工作了，我没有去找工作，参加了绿
盟的实习生转正面试，面试完成后，我都快毕业了，绿盟还没有给我发offer，但是
我觉得我可以，所以我赌了一把，当时要是绿盟不给我发offer，我就会面临毕业即
失业。在一个月黑风高，焦灼等待的晚上，我的邮箱收到了绿盟的offer，当时激动
的不能呼吸。

后来入职去北京培训，到北京我们一路的小伙伴，一下火车，看到了两节的公交车，
大喊“快看快看，那个公交车好长啊”，车站的人都看着我们。再入职培训结束的时
候，每个团队需要表演节目，我们组搞了一个街舞，我竟然是领舞，当时火了一阵子，
回到西安，大家都知道我跳了一个很妖娆的街舞。

北京食堂的饭不要太好吃了，堪比酒店的自助餐，还有各种饭后水果，酸奶，以至于
有人半个月的入职培训回去后胖了一圈。有一次我们在食堂吃饭，在食堂看到了四哥，
他跟公司几个大佬坐一桌，我们一桌几个都非常激动，但是就只能远观，但是我在想，
那么好的伙食，四哥为啥吃不胖呢？

* 见识到了安全漏洞的真面目

去绿盟后，我第一份工作是写bvs配置核查模板，我学会了Perl语言，但是我还是不知
道网络安全到底是干啥的，后来我被调到绿盟最牛逼的产品rsas产品测试组，第一次
接触到漏洞扫描，没过多久我又被调到rsas插件组，第一次接触到漏洞扫描插件，见
到了漏洞的真面目，然后就开始学习系统漏洞，写shellcode，写漏洞扫描插件，那个
时候插件组是star带队，叫做核心技术部，star给我们讲他当时在绿盟的时候，经常
为了研究漏洞不回家，甚至有时候一个礼拜都不下楼，说是有一次嫂子就带着娃跑到
公司喊他回家，让娃抱着四哥的腿，让他爸爸回家。我们小组最喜欢Star来西安，因
为他一来我们就可以吃好吃的，听他给我们讲故事，star来西安最喜欢吃灌汤包，但
是每次都会吐槽为啥西安吃饭不给纸，虽然star很瘦，但是他爬华山是最快的。

* 开始研究web安全

后来公司准备研发web扫描器，我主动请缨去写web扫描器的插件，从0开始学习web安
全，从这时算是我真正进入安全攻防领域的开始。那个时候完全不知道web安全是什
么，就买来各种书，安全杂志，天天泡安全论坛，发表技术文章，我竟然成了好几个
安全论坛的版主，自己组织了几个人，搞了一个安全杂志《安全参考》，《书安》，
搞了三年多，每个月发一期，现在应该还能下载到，当时也帮助不少人进入网络安全
行业吧。

当时为了搞定一些web漏洞插件，跟几个小伙伴，连续几天都在公司搞到半夜，后来
有个小伙伴直接把洗漱用品拿来公司，晚上不回去了，还有个兄弟直接买了几瓶二锅
头放电脑后面。当时也不知道哪来的动力，每个人都兴奋的不行。在公司产品集采测
试的时候，我们都是连续1-2周通宵，白天回去睡半天，当时我还在客户机房睡了几
晚，就是为了能拿第一，最后都是最大份额中标。可惜的是，公司不给团队发奖金，
最多就是西安周边一日游，听说后来都是出国游了哦。

自从进入web安全产品组后，对web安全着了迷，白天工作，晚上回家挖漏洞，在各种
漏洞平台提交漏洞。我提交的第一个代码审计漏洞是ecshop的越权信息泄漏，给公司
研究院发了一封邮件，答复的大致意思就是这个没有危害，因为那个时候公司更重视
系统级别的漏洞，web安全漏洞不是很重要，然后我把这个漏洞提交到了某漏洞收集
平台，结果我收到了2000人民币奖金，我都不信，我半个月工资啊，从此我爱上了代
码审计。

从那以后我就开始大量审计开源系统代码漏洞，提交给官方，然后写成插件，也可以
算是0day插件，偶尔还能拿奖金，到现在我的硬盘还有十几个G的源代码。

后来公司内部也开了漏洞赏金，对公司产品和信息系统进行漏洞挖掘，然后我一直都
榜首，把公司能接触到的产品和信息化系统都审计了一遍，有一段时间，赏金平台说
他们没预算了，还有产品的人来找我，那个时候估计研发们都恨死我了。

* 挖漏洞有点上头

那个时候代码审计，漏洞挖掘有点着魔，php，java，python各种系统看到源代码就
想审计一遍，后来为了能专心挖漏洞，研究攻防技术，就跑去研究院，搞代码审计自
动化，搞移动安全，搞物联网安全，还买了一堆网络摄像头，挖了几十个高危漏洞，
还拿了施耐德的多次官方致谢。

最有意思的事情是，当时挖掘过很多行业其他安全产品的漏洞，有一天一个友商公司
的人加我，说让我不要再挖他们产品漏洞，公司快把产品研发开除了，然后让我去他
们公司，待遇我随便提，我没答应，然后我就没有挖过他们漏洞了。

记得当时我统计过，在绿盟那几年，各种乱七八糟的漏洞加起来数量已经破千了。

* 其他爆料

因为经常要去北京总部，然后每次都住到北洼路那个汉庭，公司的协议酒店，黑咕隆
咚，还很贵，隔壁就是香格里拉，一直梦想的能住一次，可是一直没机会，估计门口
保安都眼熟我们了。

西研成立的前几年，跟北京总部一样，饮料汽水水果管饱，后来就只有汽水了，再到
后来就只有矿泉水了，再再到后来就是桶装水了，行政说总部不给预算了。

我们入职的时候，绿盟还没上市，hr就开始给我们说，公司马上就要上市了，到时候
大家都能分到股票，我们一直抱着一个暴富的梦想在绿盟工作，后来虽然我们没有经
济上暴富，但是在绿盟的那些年真的很充实，从一个小白，到script kid，再到漏洞
榜首，再到现在的安全攻防本领，绿盟给了我们很大的帮助，希望绿盟越来越强，继
续为网络安全护航。

最后爆一个料，在绿盟能拿金牌，真的，我家有5块，想知道网络安全是干啥的就去
绿盟！

--------------------------------------------------------------------------

scz:

永凯当年霸榜，我印象深刻，就知道非池中之物。有一次在看雪峰会上听他侃侃而谈，
一种对技术拥有绝对自信的感觉扑面而来。看了他的这篇，我也感触良多，有志者事
竟成，学习方法、热爱、执着，这些凑在一起，真地是想不光彩夺目都难，太多人印
证了这一点，永凯是其中一个。

永凯现在创业"零时科技"，祝他在新的赛道上扬帆远航、再创辉煌。

--------------------------------------------------------------------------

xxx:

慢慢发现，不是非正常人类研究中心的猎奇和“变态”在吸引我了。是曾经那些可真
心可珍贵可初心可厉害的绿离子们，让绿盟在我这外人眼中闪闪发光，出场自带光环
叠加bgm~