技术小白的 web 安全学习心得

  • A+
所属分类:安全闲碎

大家好,我是小灰灰,在安全行业工作了 4 年多,拿过几个只考理论的安全认证,不算安全圈新人,却是个技术小白。加入信安之路知识星球 2 年多,一直是潜水状态。近三个月完成了 10 个信安之路成长平台的学习任务,达到 102 分,才有了这篇学习感受的分享。

技术小白的 web 安全学习心得

其实 19 年成长计划刚推出时就注册了,但当时工作太忙,自己又拖延,三周过去了环境搭建都没做完,没跟上进度就选择放弃了。直到今年 5 月份重新思考职业规划时,意识到技术能力薄弱是个明显短板,会限制后期的工作选择,决定开始学习安全技术。

近半年的学习经历

5 月- 6 月,找了很多技术类教学视频,其中苑老师 Kali Linux 渗透测试看的最多,了解了常用工具功能和用法,以及漏洞原理和测试思路,理清了一些概念上的认知。但也很快发现问题——看得快,忘得快,知识转化率并不高。7 月初,意识到光看视频不实践的学习方式还是不行。在虚拟机安装了 kali,复习了一下 Linux 系统的基本操作,之后想继续学习但不知道从哪儿入手,手边资料太多出现了选择困难。这时候想起了信安之路有个 Web 安全的小白学习路线,决定从这里开始,定下登上首页排行榜的目标。

学习每个任务时,按照先读懂再实践的顺序,先搜索阅读各安全平台的技术文章和大牛的博客,结合 DVWA 和 bWAPP 漏洞平台,学习漏洞利用方法和防御思路,再编写漏洞页面,测试引发漏洞的函数,思考防御方法,加固测试环境并尝试绕过。用这种方式学完了注入、XSS、CSRF、文件包含、XXE、SSRF、文件上传漏洞。

学习感受

经过这半年的学习再看技术文章时,发现能理解的部分比之前多了,也在学习的过程中感受到网络攻防的乐趣,但更觉得自己会的太少,待学习的太多。目前还在打基础的阶段,也没取得什么成就,实在谈不上经验分享,但有几点感受可以说下:

1、关于实践。看别人的文章和视频时觉得漏洞测试过程似乎很简单,真动手实践时由于系统环境和组件版本等原因,会遇到各种意料外的状况。解决问题的过程很耗时,但确实能加深对知识的理解,也收获了成就感。

2、关于学习记录。提交的报告通过审核后可以看到同一任务下其他人上传的报告,这是个很好的相互学习机会。通过阅读别人的报告能发现自己学习中遗漏的知识点、报告书写上的不足、以及发现新的学习资源。现在写报告开始注意结构和语言描述的准确性。上周提交文件上传报告后,发现有小伙伴用了 upload-labs 项目,目前正在学习中。

3、关于知识分享。自学过程中从别人写的文章里获得了很多帮助,非常感谢那些热心分享的朋友。自己也遇到过网上搜不到的问题,最后是靠查资料和不断测试找到的解决方法。虽然目前技术能力有限,但也准备建个博客,记录成长过程、分享自己踩过的坑,希望能帮到后面加入学习的伙伴。

总结

开始一段学习不难,坚持下去才是最难的。百分学员算是对自己过去三个月坚持学习的态度的肯定,但这仅仅是个开始,之后会跟着成长平台继续学习。特别感谢信安之路为新人提供的学习路线和交流圈。

技术小白的 web 安全学习心得

本文始发于微信公众号(信安之路):技术小白的 web 安全学习心得

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: