个人简介

曾用ID:Airbasic
由于发音体验不好,现在改为Fooair,由Foo和air组成,其实就是完全不知道怎么取名字才用这个名字。
Fooair又有Fair的感觉,也体现了个人对这个世界的一点理想。(其实就是瞎**取名,强行狡辩一波)

现在从事网络安全方向的工作,同时对世界的所有新点子感到好奇,对创业也跃跃欲试(但是目前还是感觉too young)

在长亭科技做渗透测试工程师,累计时间应该已经1年+了。从事过一些大型银行,一些直播网站,一些理财网站,一些其他网站的渗透测试工作,也拿下过不少内网,各种高危,对甲方安全体系也有了初步的概念。因为有基线检查和应急响应的经验,对攻防双方都有了一些了解。编写过许多py脚本辅助渗透了,参与过扫描器的一些开发。绕过自家waf。从长亭收获颇多。

主刷TSRC,这主要是一条XSS挖掘之路。从各种基本XSS到后面重点业务(邮箱正文储存型,微信域等)的XSS经历了两年时间的不断学习和突破,其中几个邮箱正文的XSS还是很有趣的,如果有机会也想分享。也挖了一些SQL注入,SSRF,任意文件读取等,命令执行太菜了怎么都挖不到。还有些根据业务来的高危。也感谢TSRC给了我一个很好的平台去磨练自己。

还挖过aliyun邮箱的一个储存型XSS,其他各种SRC如WSRC啥的其实略有涉及。乌云还在的时候也有参与过社区和漏洞提交。

挖过Chrome的XSSFilter Bypass

挖过Firefox的CSP Bypass

  • 这个还没修复

之前也开设过博客(同样的域名),但是因为后来感觉前面写的都什么**玩意,惨不忍睹,于是一怒之下清空了博客的全部内容,哎,自己还是太菜了,才会有这种体会。

联系方式

个人邮箱:qq.com#nohackair(一般这个接收的情况比较多)
联系方法:漂流瓶或者邮箱

自我评价

保持好奇心,看待事情可以举一反三。
比平常人更加会使用Google
不安,躁动,热爱技术,懒

添加新评论