今天来分享几个安全问题的思考

如何去考核自己所学到的东西是否达到某个点的要求呢？

这个问题之前真没关注过，学习是为了自己的成长，知识也不是达到某个点的要求就行了，衡量知识是否掌握的唯一标准就是实践，在工作实践中是否可以快速解决问题，遇到问题用已有的知识是否能够解决。

在初学的时候对于知识点有印象就好，具体细节自己实践过，整个过程就有了印象，再遇到问题的时候，能够有解决问题的思路，具体的细节可以在解决问题的时候，深入研究，直到解决为止，不一定非要在初学的时候就死磕它。

对于如何考核的问题，我觉得在学习的时候，会遇到很多陌生的知识点，把这些知识点搞明白就好了，搞明白最简单的方式就是看别人的分析文章，这种当时可能明白了，很快也就忘掉了，能让自己印象深刻的方法还是自己实践，就算跟着别人的分析文章去实践，也好过只看然后理解来的记忆深刻。

很多知识长时间不用都是会忘掉的，对我们影响最大的应该是学习方法，一个新的知识、新的领域，如何学习，怎么提升，这个能力是我们应该具备的，有了这个能力，我们无论学习什么技术和知识，都可以游刃有余。

对于一个新的领域，刚开始都会感到迷茫，无从下手，看了各种前辈的经验分享还是无法入手，主要的原因还是自己不够踏实，知识不是以单个点的方式单独存在，只要你去学习实践，遇到不会的就把它搞明白，久而久之，知识点就会连成知识面甚至知识体，在未来的工作中发挥它的价值。

只要保证一点，每天学习进步就好，每天问自己一句：昨天，你博学了么？时间会给我们答案的，一起加油，共勉！

我目前比较困惑的方面是学习目标的制定，加入我社团的有一半是非计算机专业的同学，之前我有和培训机构联系，提供的有网课，但估计没有几个人看，非计算机专业的同学的目标是学习办公软件之类的，我想请教您一下，关于社团的建设，您有没有啥建议？学习资料的提供一直不缺，但就是学习顺序的制定

关于这个问题，其实兴趣是可以把一批志同道合的人聚在一起的，比如我们信安之路，最开始的时候，我通过分享一些技术心得，然后吸引力第一批的关注和对同样内容感兴趣的同学，然后大家聚在一起，都在参与分享自己擅长的技术，这个小圈子就形成了，延续至今，大家都是属于通过自我驱动去学习的，而非逼着前进，我们一直奉承的就是自我驱动，加入信安之路的小伙伴，从来没有逼着大家做分享，分享是发自内心，也不需要督促。

而对于学校的社团而言，非计算机专业的同学对于安全是陌生的，根本不知道安全未来能做什么，自己是否感兴趣，是否能坚持下去。

在腾讯安平的星球，看了很多大佬的入坑安全的经历，十几年前，大家加入安全行业多少跟当时的环境有关，当时安全不像现在这么火，也没有各种安全法律法规，处于互联网的爆发期，处于野蛮生长的时代，黑客精神体现的淋漓尽致，自由自在的在互联网上遨游，没有攻不破的系统，一个 sql 注入打天下的时代，能够满足你所有的窥探欲，想去哪去哪，想看啥看啥，是不是很有吸引力？手里大把权限，大把肉鸡，大把数据库，社工库横行。

如今的安全圈已经不是当时那个随心所欲的时代，当时通过谷歌语法就可以拿下很多系统权限，如今已经无法像过去一样，学习安全的门槛不断提高，对于新入行的朋友来说是非常不友好的。如今选择安全行业，更多是作为一个养家糊口的工作，不再是以前为所欲为的时代，各种条条框框，一有不慎就被请喝茶，学习难度提升还不是最大的阻力，最大的阻力是学习安全的成就感不高，黑客的自由精神已经不是现在选择安全的第一参考，由于 ctf 和 src 的兴起，大多数人接触安全是因为 ctf 和 src 的奖励，金钱的诱惑，从而让大家都变得急功急利，想要一步到位，对于安全圈来说并非是好事。

随着对于安全的监管和法律要求，未来安全也会像其他职业一样变成一个工作方向，大家从事这个行业也会是因为工作好找、工资还可以等基本生活保障加入进来。学习安全跟编程、测试等工种变得一样，虽然我们崇尚自由，但是安全是个双刃剑，为了减少损失，降低威胁，从人上处理是最简单的，毕竟容易犯罪的职业，能力越强，犯罪危害越大，溯源越难。

圈子里的所有朋友要么是对安全感兴趣的，要么是从事安全工作的，我觉得作为一份养家糊口的工作，安全行业还是不错的，在现在疫情如此严峻的情况下，对于安全的影响虽然有，但是不会太大，毕竟人少，竞争力小，需求还是多的，因为企业在野蛮生长的时期基本不在乎安全，缺少了安全上的关注，一旦发展壮大，安全这个拉下的课程还是要补的。

选择安全行业是没有问题的，难的是大家能坚持下去，成为行业的佼佼者，一起努力，共同成长。

Fuzz、遍历和爆破有啥区别

为什么会有这个问题，因为这三个技术是存在共同点的，比如都需要字典，很多新入行的小伙伴喜欢收集各种工具和字典，但是什么字典在什么情况下使用，这就是个问题了，那么今天就来聊一下这三个的区别。

Fuzz 技术通常是在挖洞的时候或者绕过 waf 的时候使用，因为正常的应用对于输入点都是会进行安全检查的，waf 也是同理，但是防御方是需要全面考虑的，漏洞的出现就是因为防御方没有考虑全面而导致的漏洞的，那么 Fuzz 技术就有了用武之地，通过整理比较全面的 payload 的去尝试，来判断防御系统有哪些地方没有考虑到，从而导致可以绕过安全防御，找出安全防御的盲点，这就是 fuzz 的主要作用。

遍历这个主要是用来获取更多资源的时候，比如一个网站的 url 上参数是数字或者有一定规则的字符串，每一个链接可以得到一些信息，为了获取更多的信息，需要根据 url 参数的生成规则来生成字典，进行遍历，从而获取更多的资源，这种一般是在知道参数构造规则的情况下去使用的，能尽可能全的获取网站信息和资源。

爆破对于大家来说都不陌生，也是最常见的，认证作为安全的措施，用来区分你是否有相应的权限，所以几乎每个网站都会有认证登陆的地方，存在登陆那么就有可能爆破，爆破的主要目的是找出正确的一对账号和密码，对于账号和密码是未知的情况下，通过收集大量的字典，在登陆口进行尝试，从而找出正确答案。