大余安全百个项目之旅感慨

大余安全百个项目结课了~~

很高兴今晚刚上完《大余安全百个项目教学》最后项目100，一路很坎坷个人原因停课了几个月，有90多个夜晚都有徒弟们在努力的学习着听课，一路走来的安全攻防之路，有人会问我你师傅是谁？回顾感慨，我确实没有实质上的师傅去教导去指点去引路，半个师傅算是ippsec吧，他的所有视频基本都看完了，另外半个师傅是我身边所有在我遇到问题给与我解答的兄弟小伙伴们，感谢你们！遇到kali后的路程是非常的开心，用kali几个月时间通关HTB上百个靶场，用kali几个月通关了vulnhub几百个靶场，vulnhub靶场在2022年7月更新完一台后，所有的环境都是2021年前的，很遗憾vulnhub已经不在产出高质量的环境提供给大家学习研究了，vulnhub为我们免费提供708台项目环境做研究学习，从2019年至2022年为我们提供了400余台项目环境，那么百个项目是在400余台项目环境中精心挑选出来的，当初我打完HTB，直接打vulnhub通关了近年的所有靶场！萌生出一个想法，任何没有经验的大学生去到社会打拼，入职第一天，每个公司都有几位老师傅，我作为一位老师傅带着大家去完成公司安排的项目，你们是没有经验的，你们只需要看着我做，在我做的时候我会给你们讲为什么这么做，这么做的意义和道理是什么，一个项目做完你们还是懵懂的，但是十个项目做完你们有所了解，三十个项目做完你们已经能独立接公司的项目了，五十八十一百项目都完成了越来越熟练，这样的教学方式更适合当前的就职环境和提升自我。

今晚项目100最后上完，我给徒弟们总结了未来安全路的浅薄规划，为什么说浅薄？只能说是我认为的，我走过来感悟的罢了，肯定有很多大佬看到后会觉得有不足，有需要补充的也可以一起取长补短，我很希望有大佬和老师来指点我，一路走来每天除了喝酒能放松，基本都是在学习到凌晨，除了陪伴孩子我基本的时间都在学安全上，有师傅可以和我多交流带带我更好，我们一定要有一颗永远追求知识学习的心。

接下来就是我给徒弟们最后一刻讲的浅薄规划语录：

在当今数字化时代，信息安全成为了企业和组织最关注的话题之一。不仅仅是渗透测试工程师，更是安全开发者和研究员，在这个广阔的领域中，不同职业岗位要求不同的技能和知识。我将深入探讨信息安全领域中的多个层面，从渗透测试到安全开发，再到深度技术研究和管理层的责任。

1、渗透测试工程师：攻防全覆盖（10K~25K）

也就是学完百个项目能达到的水准。作为渗透测试工程师，攻防是我们的核心。在Web应用、数据库和框架中间件等多个层面，我们需要不同的技能来发现潜在的漏洞和缺陷。从典型的攻击方式到防御策略，通过打磨自己的技术，学完我整理的100个精心挑选的VulnHub靶场即可，同时内网渗透测试也是我们的日常工作之一，使用SOCKS代理、信息收集、提权技术，我们可以深入企业内部，观察系统行为，最终获取关键信息。百个项目中也有很多做最后代码审计讲解的，更有趣的是通过审查源代码，我们可以更好地理解和分析目标系统。

2、安全开发小子：红队审计与开发的完美结合（25K~50K）

作为安全开发小子，我们需要深入学习红队审计和开发，拥有广泛而深刻的技能组合打造专属自己的安全武器库或工具出来。在红队审计方面，我们必须熟练掌握着代码审计上攻防的逻辑，这里的代码审计仅限攻防时候的底层工具和exploit利用的时候的代码。我们在红队开发方面也有着丰富的经验之后，任职方向有很多安全产品例如：IPS、IDS、WAF、天眼、态势感知、EDR、漏扫等多种安全产品里面核心的规则库，小众公司攻击性的产品，为应用程序的全面保护提供技术支持。或者是云端产品安全、工控和车联网等领域的深入涉足，也有非常多的安全产品，但是最底层核心的还不是关联性、规则库碰撞、和UI、所有syslog回传时候展示到分析平台上的东西。

3、安全研究员：代码审计的艺术（50K以上）

这也是我未来要开的课程，我还在收集当中，我会拿100个源代码来进行百个项目代码审计教学，安全研究员的工作重心在于深入代码层面，挖掘潜在的安全威胁。百个项目的代码审计、发现0day漏洞，这不仅是技术的考验，更是对深度安全思维的追求。最终通过对代码的审计，我们能够揭示出潜在的安全漏洞，为团队提供及时的修复建议。在这个领域，每一行代码都可能隐藏着未知的风险，而我们的责任就是保障用户数据和系统的安全。

目前我还在收集源代码，如果有师傅看到可以互相交换下，100个护网常见的源代码还是挺难收集的，有的话可以交流下感谢。

4、管理层：安全合规与全局战略（无上限）

你还想提升怎么办？这条路是未来打不动代码了，打不动攻防了，走的安全路！

这是我临时手打出来的笔记：

1）安全合规：等保、风评、分保、密评、数据安全风险评估、密改、密取、取证、GB国标。

2）移动物联、区块链、人工智能、工控、大数据、云：建设和运维

3）讲课、打打比赛、攻防。

4）你到这一步了上面肯定有人会来找你的需要你的帮助。

安全合规是管理层的责任之一是确保组织符合各种法规和标准，包括等级保护、风险评估、分级保护、密级评估、数据安全风险评估、密钥改进、密钥管理等。通过建立全面的合规框架，保障了组织在法律和行业标准的约束下运行，有效地降低了潜在的法律和合规风险。业务量每个省都是非常大的，你没资质和有资质都能做，得看你们怎么做，会不会的问题。

新兴技术建设与运维在管理层关注信息安全领域的新兴技术，包括移动物联、区块链、人工智能、工控、大数据和云等。我们不仅仅要了解这些技术的安全风险，更要主导组织在这些领域的建设和运维工作。通过深入研究和紧跟技术发展趋势，我们确保组织在未来能够安全而持续地运营。建设工作和运维工作往往都是所有人争破头拿下的大包！

教学与比赛为了培养内部人才和提高团队整体水平，积极参与教学活动，传播安全知识。通过组织和参与攻防比赛，可以激发团队成员的学习兴趣，提高应对真实威胁的能力。这也为团队创造了交流和合作的机会，加强了内部协同。带团队、教学、打比赛打造专属的安全团队！

国家认可走在信息安全的前沿，我们的工作得到国家的认可。国家对于信息安全的关注不断增加，作为管理者，我们的经验和领导力备受重视。这不仅仅是对我们个人的肯定，更是对整个团队和组织的认可，这样也促使我们在信息安全领域迎来更广阔的发展机遇。在未来我们带领的团队能为国家出力，利用网络安全正能量去打击犯罪！用我们的白帽子力量帮助公民、社会、国家！没有网络安全就没有国家安全，一定要永远保持一颗求学的心态，加油！

我只想把每件事做到极致，这就是我对待生活的态度！

原文始发于微信公众号（大余安全）：大余安全百个项目之旅感慨