第6期：挖别人看不到的地方，才能挖到别人挖不到的洞

我喜欢给别人介绍，我是挖洞的......剩下的给他们自己幻想了。

在公司里，悄悄看着其他人做的渗透报告，刷着freebuf，幻想自己也有一天拿着上万的工资干着看起来酷酷的事。

没有天才的故事，在各种资料看的头大也不知道自己该从哪里学起的时候，我还是去报了培训班。

培训对我来说，最大的收获是拥有了一群一起成长的伙伴，大家一起讨论漏洞，一起分享新发现的姿势，一起成长。当时培训的毕业要求是挖到等于学费的漏洞奖金(当时是3000块)，我就去漏洞盒子挖了一个星期竟然就毕业了......立马带着奖金截图去朋友圈里炫耀着自己的快乐。

不久,那个自以为拿着burp便可以挖穿地球的少年就遇到了瓶颈。但是，在朋友的相互扶持下，也磕磕绊绊的继续挖了下去。

后来，渐渐开始明白面对一个网站，重要的不仅是对可见功能点的测试，更是对框架组件的，基本三要素的了解，试着去发现一些规律，观察这个网站把接口写在什么地方，观察各个接口可能互相存在逻辑关系。

当然fuzz也是必要的手段，是没有头绪时候的突破口，毕竟看到了别人看不到的东西才能挖到别人没挖到的漏洞嘛。当然这种情况的发展和我懒得学资产收集有非常大的关系，大部分情况都是直接inurl就开始怼了，所以如果有朋友问我怎么资产收集，我说layer或者inurl不要觉得我是骗你的哈，确实是事实。