这周忙于各种课程结尾的事情（英语课程超多东西要搞要准备）和学校的一些手续，由于学校渗透课程缘故，完整地刷了下pikachu靶场，也算是巩固一下基础吧，感受到其实很多漏洞在iot层面确实无法体现，但也许因此也有新的攻击面产生

比如，ssrf，csrf，越权，这些是不是可以用来对某些场景下的设备进行攻击？这也许比欺骗服务器和管理员相比，显得更加有意思了，不必完全着眼于rce，内存破坏这些，有时候更需要web那些出其不意的思路去看待问题，

而且，web黑盒思想值得借鉴于目前仅凭逆向分析固件而受限的挖洞能力，应该把黑白盒有机结合起来

最大的收获还是看了一下如何绕过验证码和token进行口令爆破，yakit的序列请求确实很好用，这个还能进行前端加密参数的爆破（热加载模式），非常实用，还有更多功能等待探索

后面要考试、写报告之类的，都挤在一起了，当然很感谢课程带给我学习方面的敦促，可惜这次英语六级，因为上次报名忘记缴费导致这次没得去了，下次一定(