本文作者:02bin(信安之路成长平台三百分成就获得者)
大家好,我是 02bin,好久没来写点东西了,没事总是坐在电脑前看资料,学习做笔记;每次想写点什么,却无从下笔,正好借这个写信安之路成长平台毕业论文的机会来好好来规划和思考一下。
我上了一个还不错的大学,那个时候呆头呆脑,涉世不深,还没毕业就屁颠屁颠的跟着前辈去创业了,大概是在 18 年的时候,小程序刚刚兴起,公司做的是小程序相关的创业项目,当时年轻,加班写代码到凌晨 4 点,睡个觉,8 点去参加团建,创业项目最终由于准备不够充分,只能关门大吉。
接下来去做了自媒体,发现跑偏门是如此的暴利,但是好景不长,2019 年自媒体行业整改,自己再一次失去了方向,虽然尝试转型但最后还是关门大吉,就这样没了方向,恰好赶上家里拆迁,想着再回去读读书,就去报名参加了高考,由于之前做自媒体的时候,积累了一些网站搭建以及网络安全相关的知识,所以闭着眼去了一个比较感兴趣的数字公司校企合作的大专(原本想着试试的,结果被套牢无法参与考试),然后就正式开启了信息安全的学习。
既然要学安全,那么就要知道如何学习,就在近期各处暴雷疯狂吃瓜(饭钱都省了…… 哈哈)。
关于如何学习信息安全,就要搞清楚这三点:学习什么知识?去哪里学?该怎么学?
对于刚开始的时候,我是从 OWASP TOP 10 中总结的漏洞类型来了解的,先架构框架然后填充内容,比如我要学习 SQL 注入,了解 SQL 注入原理,是什么原因导致出现 SQL 注入的漏洞?前后端与数据库是如何交互的,然后去尝试搭建一个简单的 SQL 注入环境,接着去学习如何利用,有哪些攻击类型?接着再从代码的视角去进行学习一遍,去看代码层的攻击如何形成。最后这些都了解后去学习如何防御(这个从代码层面学习真的很有必要),最后思考如何自动化的解决这部分(自动化万岁)
虽然当前的大环境状态很乱,但是可以从中的各种“招揽”中获得不少学习的方法;但是学习路上免不了被割韭菜。但是他们推出的培训大纲是个不错的学习参考。接着通过 Google,GitHub,各大社区寻找相关学习资源,将知识穿起来就好了。
定期进行整理这些资料,然后去复习搭建出来自己的知识库(这个很重要),跟踪最新的漏洞,对其复现并了解其原理。
学习的方法分两种,先搭建出整体的技能框架,然后再去查缺补漏进行填充,这样学习速度快,而且可以快速投入应用。另一种方法就是稳扎稳打,从基础方面开始学习,然后盖楼的方法一层一层架构起来,这样的话就会非常的浪费时间;而且很容易做完后面忘掉前面,我就不适合这种方法直接放弃了。
说到网络安全自然就想到了 CTF,从 bugku 开始入手,buuctf,ctfshow,ctfhub 等,也参与了几次比赛并且都打入线下,不过比较可惜是因为疫情没去成线下。后来和一起学习的师傅进行讨论,虽然了解了 ctf 但是也仅仅限于做题,对于实际应用一概不知,后来也因为身体原因直接摆烂,躺平了一段时间;后面又闲不住,便又回去继续捣鼓,这次决定换个方向去看看其他的方向尝试挖个 src,这时正好赶上了信安之路的 SRC 漏洞挖掘课程:
通过这一条路下来,以渗透思路的视角走了一遍,感觉收获颇大,也自己去 edusrc 挖了几个漏洞
后来也了解的对于网络安全的整体架构与安全学习的方向,顺道在良哥成长平台上开始的技能树的构建,就像一个背着箩筐的小孩子,走走看看拾拾捡捡,不知不觉已经三百多分了,主要完成 web 安全和红队技术栏,现在排名第六。学什么都行,但是都最忌闭门造车, 有时候遇到了解决不了的问题或者有学习方面的想法和思考还是需要去多多沟通的。
完成平台上红队技术的同时,提高自己的实战能力,将自己在之前学习的 web 安全基础同实际结合起来,提高自己的漏洞挖掘能力。加深自己对有网络安全更深层次的理解。
之前就感觉红蓝对抗很有意思,后来去参加了一次,跟着师傅们做,红蓝都有参与,看他们的渗透思路颇有收获,自己当时对于网络安全只限于渗透测试的 web 层面,最多到了网站的 getshell 与提权;看着大佬们在那里搞近源渗透,而我是土狗😭,经过这一次 hvv 后对整体的知识有了一个很好的梳理。
恰好信安之路推出了个脚本小子成长计划,赶紧来参与一下,巩固一下自己的渗透思路和自动化能力:
虽然整体渗透已经有了具体了解,正好在进行内网安全方面的整理,但是一直没有什么自动化的好思路,一条龙都是手动搞很累人,当一个自动化的靓仔真的很帅。
之前面试完准备直接工作的,后来眼看某数字公司等相继大裁员感觉有点慌;不如继续磨剑,回顾了自己的这五年,发现,很多事情都是自己认知问题,人生是一场马拉松,不要颓废在当前的环境里,昨天已经过去,明天依然未知,但是今天是天赐的礼物,要去好好珍惜。
若有收获,就点个赞吧