炼石计划第二期（CSRF漏洞专项训练）- 吹响预备的号角

Posted 2021-04-25 小白帽学习之路

大家一定也有所了解，我创建了知识星球，专门分享WEB安全原创课程，优秀资源，具体可点击下方链接，具体了解下：

下面讲讲炼石计划

即可参加活动

01

炼石计划

炼石补天，炼石完成，方能补天

（星球小伙伴们真的是又有才又有技术）

简述：

该计划主要在建立在上述知识星球的原创课程分享上，没有了解的朋友可以点击上面的连接，详细了解下。

在学习完一节课程后，可加入炼石计划，进入SRC专项漏洞练习。我将星球的小伙伴们都分组进行，便于管理。大家定期分享专项漏洞挖掘心得，一起探讨交流，针对某个漏洞，通过炼石计划，我们可以更深入了解实际场景发生该漏洞的情况，以达到可以更好的防护自己的产品，可以更好的渗透测试授权项目。

对于想要参加炼石计划的小伙伴，随时可以选择不同的漏洞计划去跟星球小伙伴一起练习，比如，你现在刚刚加入，想要参加炼石计划，但现在是CSRF漏洞专项练习，目前是只能参加CSRF漏洞专项练习，那你想练习XSS怎么办呢？为了保证每个专项大家都能参加，所以会在一轮结束后，大家再选择没有参加过得专项计划进行练习，对于WEB安全漏洞来说，各个漏洞之间，没有过多的连接性，都是独立的漏洞。当然，组合拳手法是在知识点熟知并串联的前提下。

活动规则：

（以下活动规则并未百分百完善，我会随着炼石计划进行，及时发现问题，及时完善规则）

拟定五月24日上线，第二期为CSRF漏洞专项训练，为期两周。

这个期间，针对CSRF漏洞，配合类似“补天”，“漏洞盒子”，公益SRC平台，在各个平台规则下，进行CSRF漏洞专项挖掘训练。

0、我会将小伙伴们通过报名程序分为不同的小组，组内平均分配挖过漏洞的兄弟们和没挖过漏洞的兄弟们，一个小组暂定20-30人。

1、大家在这期间整理自己的心得报告，理论上是组内成员分享学习交流，每个小组会有小组长，可以合理规划小组之间的漏洞分享计划的联动（暂定，根据实际情况调整更完善的方案）

2、在这两周，每周需要上交至少一份漏洞专项挖掘心得报告，内容包括但不限于，在这一周挖掘专项漏洞时的心得，可以分享挖掘到的漏洞例子（严格打码），在这期间学习到的优秀文章（自己学习了哪些内容），如何Bypass防护，自己收集的一些有趣好用的脚本，一些有趣的Payload，PoC等等。

3、如果没有挖掘到漏洞，也要将自己这个期间做了什么，自己觉得为什么没有挖掘到漏洞的原因阐述清楚。关于这点问题，可以及时反馈，及时解决。

4、为了防止大家会出现刚开始积极性比较高，后面积极性不足问题，我们会及时通过组内成员投票规则，来清理这期积极性不足的成员。清理之前可以跟组内成员沟通，说明原因，只要大家通过，即可不被清理。被清理的朋友或者有事主动退出的朋友，可以再次加入，但需要说明原因，并且漏洞结束期间，上交以上所述的报告。

等到一轮炼石计划结束后，即所有专项漏洞练习完毕，我会将更优秀，更积极的小伙伴们组建成一个高效的技术提升小组，持续进行技术提升，至死方休。

参加条件：

0、该漏洞炼石计划，意在让各位小伙伴熟知实际场景漏洞，配合公益SRC漏洞挖掘的计划。因此不接受爱搞破坏，想做坏事的朋友们。

1、零基础的朋友，原创课程加练习，收获杠杠滴

2、想提升自己实战技术的朋友

3、不给自己设阻碍的朋友，有问题一起解决，我觉得加入了星球，我们就是自家兄弟，现在技术可能没有那么强硬，但跟着小伙伴们一起参与该计划，一定会有所收获，有所提升。

4、有一定基础，缺个圈子一起提升的朋友。基础知识容易学习提升，真心能融合在一起，想做事情的朋友不多，不妨进来跟着自家兄弟们一起做些大事情，一起为网络安全奉献一份力量。

5、加入之后都是自家兄弟，乐于分享技术，乐于积极探讨技术。人人为我，我为人人。

我想说：

技术是可以提升，只是现在只缺一个为自己目标努力的你，不要怕自己基础薄弱，不要给自己设置阻碍。只要你大声说出来：我想参加该计划提升自己。那么后面有什么问题，我们一起解决。

加入我们

进入之后，看置顶文章，加我微信

我邀请你进内部群，进行分组

等到号角的吹响

备注：一次加入星球，永久免费，进入后会进行相应调整

    

有问题联系我