戒骄戒躁,砥砺前行

  • A+
所属分类:安全闲碎

hello,大家好我是 Whitesun,信安之路 web 安全小组组员、安全行业菜鸟。时隔几月再次在信安之路上发表文章(主要是不够强,中间一段时间都没有可以发的东西 hahahaha),这次我来给大家分享我学习安全的经验和感悟吧。

历时一个多月,终于在成长计划中拿到了 100 分。虽然一个月看起来很短,但是对于我是相关专业并且有相关工作的人来说还是很长。期间任务也是断断续续的完成,不过还好,在我的不断拖延下拿到了 100 分。接下来就是向更高的分数出发!

怎么说呢,我是在加入信安之路 web 安全小组之后才有幸发现这个小白成长计划。虽然我也算个安全行业的入门者,但是学无止境嘛。而且这个学习平台的模式还不错,自学完成任务后可以查阅其他人的报告。这个是很好的学习方式,因为有时候一个问题有多种解决方法,可能你能解决掉问题,但并不是最好的方法。通过查阅别人报告可以更好的拓宽自己知识面,从而更好的提升自己。

希望我这篇文章的经验能让各位小伙伴们觉得有所帮助!下面是我的得分情况:

戒骄戒躁,砥砺前行

首次接触到黑客这个概念是在电视、电影中,觉得黑客是真的厉害,分分钟就能控制别人的电脑或者反手就把发电站给黑了,简直是太酷炫了。但是让我真正对这个行业向往的是在邻居大哥哥带我去上网的时候,利用相关技术绕过了网管系统从而免费上网(后来还是被网管抓了)。当时我下定决心我要当个行侠仗义的黑客,那年我十五岁。

而后来,我因为贪玩,荒废了大半时光,甚至从高中转到职高,混混噩噩的混了两年半。还好最后半年因为一系列的变故终于让我清醒了起来,这半年我拼劲全力的学习。最终还好,考入一所不差的大专选择了我少年时觉得很酷炫的信息安全专业。开始了我的新的一段旅程。

一些学习感悟

在进入到大学这个专业后,因为学校有系统的学习所以上手是比较快的,所以真正的开始对这个职业、行业有了真正的理解。

1、安全,行业和其他行业最大的区别就是学安全等于你什么都会要涉猎,这样你才能比较容易的达到自己的目的。或者是在建立安全体系,规划安全架构的时候才能得心应手。

2、真正黑客们虽然不能像电影里那样分分钟控制一个大型机构或公司,但是通过精心策划的渗透同样也能达成一样的结果。前提是你的技术达到,或者有一个团队。

3、学安全难吗,不难。重点是你真的喜欢这个行业吗,还是只是了解到这个行业发展前景好,来钱快。确实,安全行业工资高,但是人家是付出了超出其他行业多倍的努力才拿到的。所以学安全重要的是求知欲毅力思考能力逻辑思维以及最重要的:正义的心,如果是为了黑产赚钱或者是其他不正当的收益来学习安全技术。我觉得没有必要,虽然你可能会赚到点钱。但是被抓也是必然的,厉害的人太多太多了,更何况祖国的网络安全实力也很强。

我的学习方法

入门的学习方法有很多种,但是就我来讲。最重要的是一开始的基础知识和功底,比如你学代码审计,你不懂语言的去代码审计相当于边学语言边学审计。你要是一开始就熟练掌握一门语言再去代码审计,那是不是就很清晰明了很多呢。所以,基础很重要。

基础过后呢,就是思路。能想到或者向大佬们学到更多思路那是再好不过了。技术+思路=在实际环境中游刃有余 ,当然这个过程任重而道远。

基础学习:

1) 计算机网络方面

计算机网络和网络安全是密不可分的,学好计算机网络会让你对信息安全更加有深层次的理解

2) 编程语言

学习一门或者多门编程语言是非常重要的,对以后脚本、poc、exp 的编写都非常有帮助。我学的是 python,可以根据自己喜好的来学。但是我觉得 python 比较好上手,如果能学多门的最好。技多不压身,如果以后不做安全说不定还能转行哈哈哈。

3) 网络安全相关法律

网络安全相关法律是肯定要学的,避免挖洞或者踩坑。知法懂法才是一个合格的白帽子

4) 信息安全基础知识

既然是基础就是什么都要学点,拓宽知识面。为以后选择一项深入学习有更多空间。比如密码学、web 安全基础知识、渗透基础知识、安全工具的基础、安全设备的了解、安全架构等一些。并不是要学精,只是适当学习了解就 ok

进阶学习:

确定自己方向,是 web 安全,还是内网渗透、逆向、二进制研究、安全研究等

1) 方向选择

因为我的主要方向是 web 安全。所以着重讲 web 安全的学习。

这个刚好,良哥的信安之路学习平台很不错。对于入门来讲非常好,而且还能看到别人的报告,简直完美。可以通过别人的总结来弥补自己的不足。

戒骄戒躁,砥砺前行

2) 大概过程

学习,除了自学或者学校以外,还是需要个氛围好的团队或者组织。像信安之路就是一个非常好的安全圈子。这样不仅仅是交流也是督促。想要变强不是一蹴而就,而是日积月累。

做安全最快的学习就是实践,对新出的漏洞进行复现。自己搭建环境来进行渗透,或者是不要太过分的去挖掘网站的漏洞。也不要忘了每次实践后的沉淀,要多思考背后的原因

思路方面

1) 安全论坛、公众号、大佬博客

多逛逛 90sec、seebug、freebuff、chabug、先知社区、t00ls 啊等等一些安全论坛,里面不乏有很多大佬的各种思路。有点虽然时间很久远,但是说不定哪天你就会发现用上了。

发现大佬的话最好能找到他的博客之类的,你会发现里面都是宝藏,就算是用不到的也是对自己知识面的扩展

最后就是安全公众号,现在公众号数不胜数。真的很多,可以适当关注些比较给力的比如信安之路、宽字节安全、bypass、米斯特安全团队等等也是很多。就算你是抽空看看,吃饭看看,上厕所看看,相信我。都是会有用1

2) 头脑风暴、善于动脑

当你自己知识量累计到一定程度的时候,就可以开始不断思考了。多思考可以让自己的脑子活跃起来,说不定就灵光乍现发现新的思路。或者你也可以把以前学的知识沉淀一下,温故而知新说不定也会有新的发现。

没有动力怎么办

相信大家肯定有时候不想学,或者是学不进。很正常,不要慌。这种情况大家都会有,这时候你可以去和朋友打打游戏,旅游,逛街。做自己兴趣爱好的事情。

而后好好冷静下来静静思考,如果你是真的喜欢,肯定动力也会有了。有所追求就一定会有动力。

我的成长历程

一开始我提到过,高中阶段我荒废了两年半。很多人问我会后悔吗,我的答案都是不会。因为当时每个选择都是我自己做的,就算现在看起来有些决定很 SB,但是我知道当时的我那样做都是有原因和思考过的。

虽然在高中我算半个街溜子,但是到大学来我感觉自己得到了蜕变。最离谱的是我觉得学习会让我不反感了,也能静下心来学一些东西。也成为同学眼中的学霸~。当然,分数意义上的。真正实力还是菜,真的菜。当时在一些 SRC 上挖洞也只是中游水平,没办法技术还有待提高。挖洞呢也只能搞一些 Nday 啊,逻辑漏洞啊一些。但是还好,知识底蕴在。出来实习的时候进了一家集成商,主要是搞安全设备的。

虽然和我当初想的不太一样,当初是想做安服的。但是慢慢我发现安全设备也挺有意思,因为可以接触很多安全建设项目。可以知道大厂的安全架构和解决方案。也算是从另外的方面提升自己,工作时候虽然对 web 安全学习没以前那么频繁了,但是并没有丢下。我觉得学习嘛,频率可以放缓,但是不能放弃。万一以后又想做安服呢。学的越多越感觉自己菜,还好机缘巧合下加入了 web 安全小组感谢 @晚风 @myh0st,以及各位小组成员。大家给了我不少知识和动力,让我更加的坚定自己的方向。

做安全切记要不惧困难,戒骄戒躁砥砺前行。共勉!

戒骄戒躁,砥砺前行

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: