如果这短短二十分钟的课程能带你入门网络安全,那证明你是非常有潜力成为一名优秀白帽的。
这是一个在安全行业从事十多年的白帽老兵,他用多年积累的从业经验来讲述一个新手小白蜕变为优秀白帽的进阶之路!
感兴趣的小伙伴,识别二维码立即看课
PS:Web端看课体验会更佳,看课地址:
https://www.ichunqiu.com/open/68625
讲师介绍
演讲人:echo_d,一线红队从业人员,现任EDI团队负责人。
战绩>>
-
某省大学生网络攻防赛连续多年荣获一等奖
-
全国信息安全职业技能大赛二等奖
-
某省HW行动第一名
看点前瞻
01
回首曾经安全之路
02
现在的安全者需要掌握的技能
03
如何成为一个优秀的白帽子
看课地址:
https://www.ichunqiu.com/open/68625
知识延伸
讲师:在渗透测试时,如果能掌握一门语言,在挖漏洞时,视角就会不同。
一名Web渗透测试人员必须具有一定的基础编程能力,每天都会跟代码打交道,如果不会写代码或者看不懂代码,必然是十分吃亏的。
例如自己需要写一款适合此刻情景漏洞的工具,如果不会写代码就会极大的降低工作效率。关于后续进阶的代码审计问题,如果不会写代码,也看不懂代码,就不知道该如何从源代码中审计漏洞发现原因。对于只会利用工具的渗透人员和会写代码的渗透测试人员来说,在这种情况下优势就非常明显了。
常用的语言有:Python、PHP、GoLang、C/C++等。
讲师:常用的数据库要掌握,认识到自己的短板、跟上当下安全的形势,就能站在更高的视角,去思考漏洞。
数据库:MongoDB、Redis、ElasticSearch、HBase
MongoDB、ElasitcSearch、Redis、HBase是当下比较火热的四款NoSQL数据库产品,我们来详细讲解下各自的优势。
MongoDB最大的特点是表结构灵活可变,字段类型可以随时修改。MongoDB中的每一行数据只是简单的被转化成Json格式后存储,因此MongoDB中压根没有MySQL中表结构这样的概念,你可以直接简单粗暴的将任意结构的数据塞入同一个表中,压根不必考虑表结构的限制,更不必像MySQL一样因为要修改数据表结构而大费周折。简而言之,往MySQL写数据像是在做填空题,你写入的数据必须与最早定义的表结构一致,而往MongoDB写数据就像是在做问答题,想怎么写就怎么写,这灵活度不要爽太多。
Redis的最大特点就是key-value存储所带来的简单和高性能了。所谓key-value存储,就是每一条记录只包含一个用于查询数据的Key,以及与之对应的存储数据的value,就如同现实生活中的门牌号与住户,而没有诸如表、字段这些常规数据库中必需有的复杂概念,所有的查询都仅仅依赖于key值。因此,key-value数据库可谓是数据库中数据结构最简单的一种,也得益于这种简单的结构,再加上Redis会把所有数据加载到内存中的,Redis能得到远高于MongoDB这类常规数据库的读写性能。当然,Redis的功能还不止key-value存储这么简单,相较它的key-value前辈Memcached,Redis还支持数据持久化,list、set等多种数据结构,复制备份等一系列功能,因此Redis绝对称得上是key-value数据库中功能最全面、最简单易用的款。
ElasticSearch,简称ES,正如其名,那就是搜索。严格的说,ES不是一个数据库,而是一个搜索引擎,ES的方方面面也都是围绕搜索设计的。ES支持全文搜索,这里简单解释下什么是全文搜索:对于“我在北京的一家互联网公司工作”这样的数据,如果你搜索“北京”、“互联网”、“工作”这些关键词都能命中这条数据的话,这就是全文搜索,你每天都在用的百度、Google都属于全文搜索。值得一提的是,ES的全文搜索对中文也有很好的支持(单是中文分词器就有很多种),绝对能够满足国内大多数人的全文搜索需求。除了搜索之外,ES还会自动的替你对所有字段建立索引,以实现高性能的复杂聚合查询,因此只要是存入ES的数据,无论再复杂的聚合查询也可以得到不错的性能,而且你再也不用为如何建立各种复杂索引而头痛了。
作为Hadoop系列产品之一,HBase也继承了Hadoop项目的最大优点,那就是对海量数据的支持,以及极强的横向(存储容量)扩展能力。和Redis类似,HBase也需要为每一行数据定义一个key,之后所有的查询都依赖这个key进行。但是不同的地方在于,HBase中的一行数据还可以有非常多的列项(类似MongoDB字段),数据会按照列进行分组和存储,同一列的数据存储在同一个地方,这也是HBase被称为列式存储数据库的原因。其实从本质上来说,HBase相当于是把逻辑上的一张大表按照列拆成若干张小表分别进行存储,不仅是列,数据的行数到达一定数量后表也会再被拆分。因此,HBase能够把巨大的表分布到很多台机器上,从而容纳规模近乎无限的数据。同时,对HBase进行横向扩展也非常方便,你基本只需要添加新的机器,而不用对数据做任何改动,就可以实现数据库容量线性的增长,这在其他SQL数据库中是难以做到的(尽管其他数据库也有诸如MongoDB分片集群之类的功能帮助你进行数据规模横向扩展,但是无论是在实施的难度上还是在对数据的影响方面这些都无法跟HBase相提并论。)
知识面,决定看到的攻击面有多广,
知识链,决定发动的杀伤链有多深。
—致敬猪猪侠
工具让每个人都有发现漏洞的机会,但真正掌握工具而不是被工具掌握的人才能成为优秀的白帽子。工欲善其事必先利其器,好的安全测试工具可以帮助白帽子快速、有效的定位到漏洞可能存在的点,同时辅助Web安全测试人员完成漏洞利用和漏洞证明。所以,作为一名Web安全测试人员,熟练掌握各种安全测试软件是基本功。
目前Web安全测试人员常用的工具有:burpsuite、sqlmap、wireshark、fiddler、avws等,其中burpsuite和sqlmap是漏洞挖掘过程中使用最多也是最高效的神器。
最后,讲师送给大家三句话,愿大家在网安路上越走越好,成为优秀的白帽子!
-
打好基本功,年轻人不要太浮躁,慢就是快。
-
拥有快速学习能力的白帽子,是不能有短板的。
-
学会如何提问问题,学会如何学习,诗和远方的路费都很贵,所以,兄弟加油!
End
— 往期回顾 —
▶ 浅析红队基础设施
▶ 红队建设之道
▶ 手机锁屏密码安全
▶ 中间人攻击
▶ 十分钟看懂隐写术
▶ 信息泄露问题
▶ 狡猾的漏洞利用
▶ CAN总线安全
文末下方点个赞和在看哦
i春秋官方公众号为大家提供
前沿的网络安全技术
简单易懂的实用工具
紧张刺激的安全竞赛
还有网络安全大讲堂
更多技能等你来解锁
本文始发于微信公众号(i春秋):回首白帽老兵十年网安之路!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论