大家好,我是 H1kki,就在今天我完成了加入信安之路星球的第一个目标 —— 任务平台获得了300分,算是在信安之路上迈出了一小步。良哥让我给大家分享一下学习历程,于是有了这篇自说自话的文章。我在写这篇文章的时候,找了信安之路发布过的各种大佬的文章做参考,结果发现并不能像其它有过工作经验的大佬一样给出实质性、建设性的建议,所以我打算就我目前的学习经历入手来分享一些我对安全方向学习的看法。
先做一个自我介绍,我目前大三,就读于某一本院校的信息安全专业,学习能力中规中矩。选择这个专业是因为没有被计科专业录取,这是我一般自我介绍的说法。但实际上是因为高中阶段遇到了一个朋友Y,Y是一个真正拥有黑客精神的人,算是我安全方向的引路人,而我的信安之路就是从Y开始的。
大一:我一开始和身边大部分同学一样,上着学校的课、做着差不多的事。有一次和许久未见的Y聊天,聊到了安全方向,就问他如何入门,然后在Y的指引下,自知自控力不足的我报名了某实验室的线上课程,虽说花了几K大洋但是还是跟随老师的脚步把Web基础漏洞粗略的过了一遍,算是入了一个门。
大二:为了加入学校的安全实验室,我开始接触CTF方向上的内容,刷了两个多月的题,加入了实验室,后来因为各种各样的原因拖着,安全方向一直没有进展,就是在原地踏步。不过幸运的是,实验室分配到了某线下渗透测试培训的免费名额,于是我再一次跟班上课,花了两个月的时间学习了解实战方向的内容。然后不出所料的,又一次的陷入了迷茫,在这期间我了解到了信安之路,于是我开始跟随信安之路实训平台学习。
大三:大三期间基本上就是跟随信安之路成长平台给的学习路线巩固学习、做一下学校实验室的项目、看了基本安全相关的书籍,期间唯一值得说的就是参与了信安之路的脚本小子培训计划,了解了自动化渗透测试相关的内容,因为在校生比较闲,基本上跟着进度走完了全程。
总结下来,我的学习经历确实没有出众的地方,就是简单的遇到啥学啥而已。
而信安之路就是那个让我解决“遇到啥”问题的平台。
我一开始报名加入星球的理由很简单,就是找不到事情做了,在寻找资料的过程中,发现星球中有配套的SRC课程,果断报名加入。加入后才发现SRC课程只是星球内容的冰山一角,除了一系列课程之外,还有内部Wiki、成长平台,这两个工具最后变成了我学习路上的最好助力。空口无凭,我们来举例一下就明白了,我们就以SQL注入为例 ——
在接触平台内容之前,我对SQL注入的了解就是这些:SQL注入漏洞的危害、分类、利用方式以及CTF比赛中一些Bypass的技巧,再进阶一些的内容就有SQLMap的使用和通过日志或文件落地提权。
通过完成平台任务和Wiki资料的学习,我接触到的新知识有:通过HashCat破解User表中保存的密码、获取WebShell后利用数据库进行提权、Bypass软WAF、SQLMap源码分析与自定义Payload和Tamper脚本、PDO扩展的研究和注入分析。
这些东西网上会有很多参考资料,但是有目标的收集资料和漫无目的的找资料完全是两回事,小白在不了解路线之前很难找到齐全的资料。而成长平台会将这些资料逐一列出,随着学习进度的推进,这些知识点会循序渐进的被你接触和学习,同时再学习这些的过程中,平台会提供优质博客供你参考。
总而言之,通过一年的接触,信安之路平台对我而言已经变为一个不可或缺的接触优质内容的途径。
至此,我的学习历程总结完毕,但是就这么结束太空洞了,所以我这里再来说一下我学习路线上最深的感受,就是学习需要走出舒适区。
同样以我自己为例,第一次学完Web基础漏洞之后,刷了几个月的题目感觉没啥进展,后来是实验室的课程让我被动的走出了舒适区,去跟随课程进度学习新知识;同样的在我第二次学完Web基础之后,是成长平台让我摆脱漫无目的的看书,而是去学习更有深度的知识;在信安之路平台学习的过程中,当我第三次刷完Web基础漏洞,但是审计代码基本上没什么思路的时候,我向良哥去请教审计的思路,在良哥的见一下,我耐下性子审计一个从未审计过的CMS,花了一周时间找出了近十个漏洞,走出了之前代码审计靠复现的死循环;在PHP代码审计推进快结束的时候,碰巧赶上信安之路的分享会,然后下定了进军Java审计的决心 ……
在我看来,学习是一个不断拓展自身能力的过程,而这个的过程中,需要不断地走出舒适区,面对挑战和不确定性。而如果走出舒适区需要一个契机,去找大神请教或者去找一个大神总结出来的学习经验都是不错选择。
我的“信安之路”就介绍到这里,也希望看到这里的你也能找到属于你自己的“信安之路”。