看高校专业排名只看安全四大发文情况
直接看安全四大发文数,那就是最权威的排行榜。应该是有个github库做收集。国内目前最厉害的好像就是清华,但其实应该具体到导师组,毕竟一个学校也层次不齐的。注意这里说的是导师的单位,因为高校内学生会和他要读博老师合作写论文,但这种情况下一般是学生和外校老师的成果,和原学校无关。老实说,原学校别天天恶心人都算好的。特别小谈一下,上面提到的某高校网安院整个院都没有一个现任老师自己带着自己下面学生出过四大的,甚至b都没有,很多老师只有学报和抢一作的水文,当然不妨碍该校ctf厉害,毕竟总有acm和ctf选手被骗来的当廉价劳动力的,当然这也就造铸了py选手和挂名地主导师的乐土。
ctf为唯一指标?
至于上面回答评论区里说仅看ctf作为数据指标的那位做题家。希望这个世界真的如你所愿,多做一道ctf,世界上就少一个漏洞。吐槽一下,现在ctf搞出来的乱象还少吗?多少人敢说自己比赛经历是干干净净的,就算真大佬多少人没有逼不得已或者被某些机构带着py打比赛。多少高校老师靠ctf战队挂名混到赛阀的地位,福州大学那二货骗学生的破事。某上面榜单高校的带队老师屁都不会就靠下面战队打ctf的学生廉价劳动力捞钱。和老一辈交流过,感觉那个时候就是个没有门槛,拼热爱坚持的小众比赛。没有那么多利益惨祸在其中,感觉搞的没这么脏。
纯理论派
ctf更应该像你读书一样,读了后实践出结果了才是真的读了。你总不能读完了,天天跑到处说我读了这本书来标榜自己吧。资治通鉴是个很多历史伟人都在反复阅读的书,但也止不住有人靠宣扬自己通读资治通鉴标榜自己和那些厉害的人一样厉害。有伟人一年读了1千本书,干出一番伟业。也有人自称读了1k本书,但用的量子阅读法。有人读书爱写读书笔记,最后整理成册成了新书,多轮迭代,原来那本书书记的什么可能都不再重要了,人们只记得自己好像是读这本书的,但具体内容还相关与否是否跑题,不重要,只需要再迭代出新书就好。提的是实践和理论结合,你这是纯搞理论啊。
正视ctf,某些方面它的培训机制并不高效。
所以请正视这东西,至少让这玩意回归他应有的样貌,现在很多指标开始考虑ctf了,这反而导致行业畸形。大家应该都知道自己方向题目都是什么样子,好一点的是出题人自己挖的漏洞改成题目,差一点的直接就是从题到题,这个东西完全没有卷的意义,就算是从漏洞出的题,你看题解会更快,有人喜欢说看了题解就学不到东西了,你真实环境就找不到漏洞了,这种话你就乐呵一下吧,挖漏洞就是在自己脑子构建checklist,而后在看代码的时候灵光一现组合你脑子里面的list出一个新的问题。ctf绝对没法培养你这种能力,只能侧面拓展你的checklist,毕竟题解一定是得有的,而且必须是flag形式,你已经知道安全影响了,这种时候漏洞点很难隐藏,题目也就只能在复现操作上饶和卷,也锻炼了超强的动手能力,一些佬搞的ctf工具直接做成了很多安全工具。但还是要注意ctf和现实挖洞真就2个样子。ctf高手动手能力都很强,但好在挖洞对动手能力要求并不那么高,反而看你的checklist是否够多,你脑子是否够活。一些ctf选手或是本身就是py选手的原因,或是这个培训机制并不能最高效拓展checklist的缺陷问题,漏洞产出其实没有他们应该有的样子,感觉ctf高手和真正安全高手并不是强相关,有重叠,但重叠区域应该没想的那么大,阅览过很多ctfer的博客,感觉都是在学习东西或者题解的总结,很少讲自己漏洞成果的。其实直接多看有趣漏洞,并构建自己checklist找新漏洞学习尽快进入真实场景要高效的多。
安全并不只是web,现在安全学术研究甚至没多少人做web。
最后想说世界不是只有web,不是所有安全人都得做靶机,web方向也已经变成了堆人力去负担自动化流程无法承接的工作的形势,而且现有方案很成熟了,对于研究人员没有动力在这方向发展,所以安全博士真的不需要会做靶机,当然有博士在读大佬也是很会做靶机的,并不冲突。现在web感觉更应该侧重培训开发人员,安全方案是相当成熟的,渗透方的渗透流程也是相当流程化的, 缺的是研发同学对安全的重视。可以预见的是web方向市场的人才需求会越来越少,web安全确实会越来越难过,市场上web方向人太多了,几乎都在急切的换方向。最后提一下,其实现在要求高的岗位也不再只看重ctf了,如果仅有一页比赛经历的师傅们,我建议你提前考虑考虑面试官会不会怀疑你的py能力过强了。当然现在个别岗位需求纯粹就是打ctf,令人震惊尽然有人能靠做题吃饭,但这也是形式主义导致的畸形结果,无可奈何。唯二的成果最后请相信一个安全最简单的原则,这个行业只有漏洞和防御机制设计这两个唯二的成果。这个范围不仅仅是工业界更是学术界和一切和安全相关的产业。其他的都是锦上添花,也请不要在牛粪上插花。这也是大佬交流的共识,很朴素,也请个别py人别吹水了,看看你漏洞产出就行了。上面评论区某人ctf那么厉害,漏洞应该不少吧,让我们看看你漏洞?我们不用漏洞评判一个高校的排名是因为很难量化,你不可以把一个密码学漏洞和10个xss算一个分。但是对个体,你大可以发出你的漏洞,我们观摩一下,而不是ctf比赛。sp最近上了一篇文,就是讨论安全研究员做靶机时候的一些问题探讨,所以可以发现这个世界并不是二元对立的,现在很多做学术的都是之前ctf牛人,他们也互相称呼师傅。反而py仔更像圈外产物,所以谨防自己变成自己的敌人。佩服ctf大佬的牛逼漏洞,但看不上只敢吹自己ctf经历的ctfer,奇葩真多,脏我眼!
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
2779
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
