前言
工作也好几年了,在这摸爬滚打中,遇到了服务器被黑,网站被人DDOS攻击,数据库被篡改等等。服务器也不是你说不让人上就不让人上的,所以IT安全这个话题还是比较沉重的,涉及的东西很多,只有你了解得更多,你才会知道你所了解的安全其实是那么少。
梦想的开始
我是个半路出家的渗透测试工程师。现在还处在工作学习阶段,而我的渗透之旅,也刚刚开始。
几年前的我,还躺在大学宿舍楼里,因为毕业考试和毕业证的发放间隔了一个月的时间,同宿舍的舍友都选择回家。没有目标,站在人生十字路口的我,选择了留守。
原本热闹的宿舍楼,在那一个月时间迅速降温,回复到我们刚开学时候的状态,似乎在准备迎接下一批到来的学生。
那时候的我,没有能力,没有追求,没有女朋友,是一个妥妥的新世纪三无青年。如果说,那个时候有人告诉我,我可以在一年后的某天,整天工作清闲,还能拿着足够俯视大部分同龄人的工资,我绝对会一笑而过。现在的生活,对过去的我来说,宛如梦幻一般。
而废物生活的终结,来自于最好朋友的一个电话。
清晰的记得,那天的排位,我连续输了一天。关闭电脑的我,无聊的躺在床上,用手机刷着B站的美女。突然,一个电话将我从床上拉起。
“朋友,我打算重新捡起以前的梦想,去做网络安全,你要跟我一起吗。”
“网络安全,是什么?”
“通俗点来说,就是不做坏事的黑客。学习的技术,做的工作,都差不多。”
“这个我没接触过啊,学不会咋办。”
“放心,这个入门不算很难的,只要学,就可以拿特别高的工资。”
“好,我跟你一起。”
“…”
【点此查看大纲目录】
轻飘飘的几句话,就决定了我未来的走向。回顾这一年的经历,虽然我经历的事情还不算太多,但我可以肯定,我做了这辈子最正确的一个决定,可能我运气比较好吧。
荆棘之路
可能是我对我认为我最好的朋友了解还不够多,也可能是我还以为自己处在一个可以被家长,可以被学校庇护的状态。刚开始学习的前一段时间,我的表现差强人意。闲散四年的我,哪怕在一次酒后明白自己没有任何可以仰仗的东西,但还是无法迅速进入学习状态。
网路安全的基础技能,我一无所知,甚至连网络的基础知识都知之甚少。索性,挖掘漏洞的过程,在当时的我看来十分有趣。这也是我目前唯一可以仰仗的东西。
每天三个小时学习,我觉得自己十分努力,一个月时间,便掌握了大部分web漏洞的挖掘。虽然并非每个漏洞都能有自己的实例,但当时的我却开始了自得。或许,我就是小说里面说的那种天才吧,不管什么东西,只要看看就会了,当时的我这么想。
当头的一盆冷水,来自朋友的一张cnvd证书。作为跟我同步学习的人,或许是他之前就有基础,或许是他每天暗自付出的努力,在我还在为能够挖掘野站漏洞而自得的时候,他就已经发现了某cms的通用漏洞。
但那时候的我,虽然备受打击,却依然没有任何醒悟。只是重复的想着一件事,他本来就比我强,我实力本来就不如对方。久而久之,养成了一种破罐子破摔的坏习惯。
而那段时间的学习进度,是我学习过程中最慢的一段时间。
或许我还是有些太天真了,这也造成了我现在基础不稳的情况。
前期的自由学习时间,现在能记忆起的不多了,每次回忆,只有朋友为了帮我进入学习状态而发生的争吵,可能,我最好的运气是有这个朋友吧。
猴子和老虎
三个月的学习时间很短,在我还没反应过来的时候,他所在的大学开学了。闲人一个的我,开始在这个陌生的城市里一个人游荡。数不清多少次看着街边逐渐亮起的夜灯,看着路口的车流,直到每辆车的尾灯,在我的眼前连成一条线。
那时候,是我第一次开始考虑自己的未来。
审视一遍自己,我没有显赫的家世,甚至游戏人生的我,在某种意义上已经被当做了家庭的累赘。没有任何工作的能力,却又眼光甚高,看不起工地里做苦日子的民工,又被坐办公室的白领看不起。每次考虑的最后,我都会想到同一句话。或许,我羡慕和看不起的那两种人,都看不起像我这样的废物吧。
依稀记得, 转变的前一 晚,我喝了很多啤酒。多到我的周围都是铝制的啤酒罐。但那个时候,可悲的我才发现,原来我唯一可以得到慰藉的酒精,都无法将我从旋涡里拯救出来。
第二天,我跟朋友告别,转身来到了一家安全培训公司。我学习的时间不算长,但也并非毫无收获,在同期的学员里面,我很快成为了人人口传的大佬。只是每次听到这种称呼,我的嘴角总会勾起一抹苦笑。
“没有见过老虎的人,才会把猴子当做山里的霸王。”
可笑的是,我是那个猴子,而我,见过真正的老虎。
谁还不是个天才
培训的六个月里,我过的很快乐。没有朋友的步步紧逼,没有整天昏天暗地的学习,没有刷个b站看个美女都胆战心惊的生活,让我过的十分充实。但每次当夜深,只有我一个人还没睡的时候,我总会看着夜空,伴着阵阵飞机起落的轰鸣,回顾自己今日的学习。
我真的学习到东西了?没有!我真的喜欢这样的生活吗?喜欢!我真的想这么颓废下去吗?不想!
这是三个问题,我询问了自己很多遍,但因为中间的肯定,我久久没有更改自己的习惯。而我唯一的仰仗,则是我的天赋,计算机方面的天赋。
别人看十遍的文章,我只需要看一遍就可以知道重点。别人挖十遍的网站,我去依然能找到漏洞存在。别人看不出问题的脚本,我能一针见血的发现问题的所在。
这是我所仰仗的东西,也是我最引以为豪的东西,我认为我靠着天赋就可以超过绝大部分人,而剩下的部分,哪怕努力也难以望其项背,就干脆不去想了。
直到有一天,培训里出现了一个比我更闪烁的新星,他能挖到我不敢去碰的src的漏洞,他能刷到漏洞平台前一百,他能去知名大厂。而他,在两个月前还是我看不起的存在。
那天晚上,我独自在教室坐了很久,甚至我自己都不清楚我为什么要在不学习的情况下留在教室里。白天,我去找那个新星聊了天,他稍微有些紧张的搓手画面还在我眼前一次次重现。
也是那天晚上,我重新打开了学习资料,打开了一个SRC主页。
虽然没有播放器,但我耳边却重复的回荡着一首歌。
“没几个人生下来,不是天才!没几个人上下来,不是天才!没几个人生下来,不是天才!…”
歌词很真实,在这个世界上,谁还不是个天才。
你好,路人甲
培训时间结束的很快,被打击到体无完肤的我,放弃了乙方大厂的面试,转身去了一家小公司。每个月的薪水很微薄,但却让我安心。
不知道从什么时候起,我觉得自己很烂,没有能力,爱吹牛逼,遇到问题就去找朋友帮忙,到最后,本来应该只属于我一个人的实战经验,我什么都没学到。
索性,小公司的工作和薪水是挂钩的,没有任何有难度的漏洞,每日工作时间很长,但却很充实,那时候的我,觉得自己正在朝着最开始计划的那样稳步前进。先做实习生,然后转正,在小公司做够几年工作经验后跳槽去大厂,利用自己积攒下来的高超技术傲视群雄,成为自己小时候梦想的人上人。
但计划终究是计划,想法也终究是想法。
没难度但极为繁杂的工作,占据了所有的碎片时间。没有任何时间学习新东西的我,只是逐渐把自己原先不太稳固的基础逐渐扎牢。
也仅限于此了。
有好几次跟朋友喝酒的时候,他跟我聊到这个话题,我总是摆摆手带过,我觉得那个时候的自己已经可以独当一面了,我做什么事情,还不需要别人来教我。每次,朋友总是摇头离开,我也只是喝着酒看着他消失的背影。
我还能吊在他背后多久?这个疑问,我能很轻易得到答案,但却从来不想回答。
稳定一点,也好吧,毕竟,我只是个普通人。一个跟现在还在街上游荡的大部分一样,最普通不过的普通人。
也是在这个时候,我突然想到,如果生活真的是一场电影,那我最多只能算是活在幕布之外的路人甲,主角的光鲜亮丽存在于遥远的地方。似乎是突然有感而发,我举起杯子,对着已经空无一人的座位示意,轻声的说道。
“你好,路人甲。”
作为一个半路出家的渗透测试工程师,我应该算是混的还不错的,拿着这个岗位在大城市的平均工资,做着这个岗位在大城市的平均工作量。
黑客,是我们这个工作的俗名。
在没有进入这个行业之前,我认为这是一个很高大上的工作,非天才没办法驾驭。但现在看来,我之前的看法,只是因为雾里看花。花只是花,再好看的花,也只能在适当的时候开放,适当的时候凋谢。
所以现在看来,我也不过是在社会这个蚁穴里面碌碌无为的一只工蚁。刚工作时候的优越感,现在荡然无存。
我觉得,到目前为止,自己的一切,都是水到渠成的。我在人生十字路口茫然的时候,有人给我指明了方向。我稍微努努力,就有一家愿意接受我的公司。我想去更好的公司发展,就能通过自己的努力来获得,虽然这个努力,在我看来,甚至不占玩乐时间的十分之一。
一帆风顺,虽然我不太想这么介绍自己目前经历的人生,但是回过头去看看,似乎完全没问题。
但是,真的有人的人生,可以因为水到渠成而过的一帆风顺吗?作为一个年轻人,我是否应该在面对选择题的时候,选择脑子一热。
“在做选择的时候,最好的办法是抛硬币,重要的选择,当然不是依靠硬币的正反来决定的,而是当硬币飞在空中的时候,你的心里就已经明白,自己真正想要的答案是什么!”
当硬币飞在空中的时候,你就知道,自己想要的答案是什么。
最后
我是一名渗透测试工程师,用心学渗透,用心做安全,希望这篇文章能帮到处在迷茫的你!!
网络安全学习路线&学习资源
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
本文转自 https://blog.csdn.net/jennycisp/article/details/140549199?spm=1001.2014.3001.5501,如有侵权,请联系删除。
146
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
