2026-01-01 05:21:06 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 作者回顾2025年安全学习与实战，完成Java代码审计与Go语言学习，研发漏扫引擎获国赛二等奖，参与多次护网及攻防演练。总结在逻辑审计、云原生及攻防经验上的不足，规划2026年开源渗透工具、申请CVE、提升红队能力并持续技术分享。 综合评分： 85 文章分类： 实战经验,代码审计,安全工具,漏洞分析,红队

cover_image

2025 年终总结

原创

AuroraSEC

2025年12月30日 22:23 黑龙江

AuroraSEC · 煤城 写于 2025/12/30

“2025 年结束我想再来一次总结，我的计划有没有完成。” ——去年元旦立下的 flag，今天来还愿。

一、对照去年我立的 Flag：完成度 85%，剩余 15% 写进 2026

小结：去年 7 个 flag 兑现了5个，其中工具开发、实习深度、代码学习超额完成；CTF 主动降级，时间让给研发与审计，取舍无悔。

二、今年最硬的三个“第一次”

第一次拿国赛奖牌

与 Future 联合研发的Go漏扫引擎，拿下 A 类赛事国家二等奖。领奖那一刻，想起 17 届信安我们兄弟四人只能做知识问答，这回真的“不用做冷板凳”了。

第一次收到工资以外的“社区稿费”

把《 CVE-2025-32463 Linux sudo chroot本地提权漏洞分析复现》发到奇安信攻防社区后，收到了稿费打赏。哈哈，“免费分享”也不完全是是“零收入”，而是“被认可”的另一种循环。

第一次打攻防演练

参与了一共参与了3次攻防演练，1次重保项目，扮演两次BT，两次RT，学习到一定的项目经验，暴露了我的攻击方经验严重不足，目前在努力补全。

三、仍然磕绊的角落

逻辑漏洞审计：还停在“看功能猜漏洞”阶段，缺乏业务流 + 数据流抽象方法；计划 2026 年完成 2 套开源系统源码通读并画数据流图。

云原生安全：去年 ekkoo 师傅提点过，今年只读到 etcd 未授权访问，K8s 供应链攻击仅停留在概念；2026 再思考再提升。

大模型安全：依旧停留在理论学习阶段，毫无建树

SRC排名：实习几乎占我本年度的一半时间，很遗憾没能刷比较高的排名，今年希望可以拿一个比较不错的排名

四、2026 继续立 Flag（公开处刑版）

开源：预计设计并开源至少两个Go写的渗透测试工具

目标至少有一个能拿到500star，加油

审计：完成 1 次公开 CVE 编号申请（Java 生态），一次CNVD通用高危证书。

攻防演练：预期定位红队方向，补全完成技术栈，达到标准的Rt成员能力。

附加：英语能拿下CET-4

分享：公众号原创 ≥12 篇，奇安信社区投稿 >5 篇。

五、致谢名单（排名不分先后）

保安姐：伟大无需多言，2026，继续向你学习“无偿分享”的底气。。

ekkoo 师傅：我网安生涯的引路人，审计，域渗透教练，明年还想继续跟着师傅学，好好看，好好学，希望我能成长到能帮助到师傅的水平。

Future：明年一起把奖牌升级成“一等”，最佳合伙人，也是最佳“背锅位”。

zock 老师：在学校帮我兜住学业底线，让我放心去 hvv，指导我的项目和竞赛，课本与实战的跷跷板，因为老师您而保持平衡。

利群群U & 我的读者和朋友 & 无数的白帽子黑客们：你们藏在屏幕后面、ID 后面，却让我每一次发文章时，都能瞬间收到成排的“赞”

每天的群聊里，总有人陪我一起畅谈、一起聊工作的琐事、一起看着每天的乐子笑出猪叫。我想你们是我慢慢长路，少有的星火，感谢群友们，把孤独的技术长夜切成碎片，再拼成朝霞。

2025 年，我的 CVE 编号、SRC 排名、国赛奖牌，有一半功劳属于你们的“秒回”和“在线陪调”。 2026 年，我们继续把键盘敲成鼓点，把屏幕刷成烟花—— 让“白帽子”三个字，始终亮成互联网夜空里最温柔的探照灯：照见漏洞，也照见彼此。

新年愿我们都能 “日挖高危，夜无噩梦；常得 CVE，永不被律。”

—— 你们的小老弟 AuroraSEC 2025/12/30

煤城夜

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AuroraSEC AuroraSEC《2025 年终总结》