问题
安全人员都怎么初次入行,国内没有正儿八经的学校开设安全课程专业?
[描述]
那些过去在成为**公司内的安全人员及白帽之前(在成为之前这一阶段,也都还算不上是正儿八经的岗位和职业吧?)技能技术都从哪儿获得的呢。
以前国家网络安全法不完善。拿一些不知名的小站练手。现在实战练手可是犯法的了。
就只是看看别人过去文章脑补过程了。以及学计算机系统的底层知识体系。
未知攻焉知防。
是从攻的角色入行,还是从防的角色入行的。以及先从攻,再转防
【A1】
自学,书+paper/技术文章+网上一些课程(我们过去应该是杂志+技术文章为主)
当然,如果运气好,碰到个良师肯定是事半功倍
不过其实掌握技术的深度还是取决于自己
至于楼主谈到的两个问题:
1、如何演练,有个东西叫靶场,网上有很多,也可以自己搭建,比如这个项目https://github.com/vulhub/vulhub
2、从攻还是从防入行,在我看来攻防不分家,不管你从哪方面入行,就像你说的未知攻焉知防,互相都会涉及到,不了解攻击怎么做防御?不了解防御怎么更好的攻破?
然后推荐一些资源把:
1、在线课程学习,**学院搜索安全是有一些的,行业内也有一些,比如https://www.ichunqiu.com/
2、书籍,看你学习的方向了,比如说Web方向经典的有《白帽子讲Web安全》、《黑客攻防技术宝典-Web实战篇》、偏前端安全的《Web 前端黑客技术与揭秘》、SQL注入必看《SQL注入攻击与防御》,然后二进制漏洞分析的比如泉哥@reisklin 的《漏洞战争:软件漏洞分析精要》,浏览器安全比如@saplasqian 的《白帽子讲浏览器安全》,游戏安全方面的IEG游戏安全中心的《游戏安全——手游安全技术入门》等
3、如何入门,这个问题我就不详细说了,知乎可以搜索下,一大堆人问,也有一些不错的答案
【A2】
1、最初是看小说入迷才踏上这条路的,零几年那会安全资料其实没那么多,三大黑客杂志(《黑客防线》、《黑客X档案》、《黑客手册》)几乎是人手必备的,虽然现在都已绝版,但那绝对是中国网络安全发展史上不可磨灭的光辉。
2、现在各种网络资源太多了,书籍、文章、漏洞靶场,要学习有资源,要实战有场地,完全合法,推荐下之前写的“信息安全从业者书单推荐”(https://github.com/riusksk/secbook)
3、这几年CTF比赛也在国内开始流行起来,很多优质题目和配套writeup讲解,非常适合实践学习,可以看这:http://ctftime.org/writeups
4、日常多收集一些RSS订阅,每个圈内人应该都有自己的信息来源,如果没有,可以不妨先用这个:http://riusksk.me/media/riusksk_RSS_20190330.xml
5、Google Project-Zero 漏洞列表,绝对是研究漏洞的最佳参考资料:https://code.google.com/p/google-security-research/issues/list
6、当年初学时,挑书必选有”黑客“二字的书名,入门后,还是回归到计算机的基础课程上,比如C、汇编、编译原理、系统原理等等
7、现在楼主都能在这发帖了,说明都进了**,至少还有电脑。当年俺连电脑都没有,读书勉强用把诺基亚3100(诺基亚第一款彩屏手机),硬生生地看完了《Windows程序设计》与《Windows环境下32位环境汇编程序设计》,因为当时在大学自己没有电脑,都是去网吧上网的。所以,当前的安全学习资源,已经比10多年前丰富太多了……
8、最后我觉得更关键的,还是:自学 + 兴趣,才能在这条道路上持久地走下去!专业啥的都不是问题,大五那年,**的人找我电话面试时,我还在骨伤科给病人针灸呢,所以不用问我啥专业毕业的了_
【A3】
这位同学很有上进心,赞一个!
诚如楼主所言,在早期(10+年前),国内法制还没有那么健全,安全技术也经历了疯狂生长的阶段,各种优质的杂志、交流的社区、优秀的博客盛极一时。本人也曾经通宵达旦,路过各种站点,要放在今日,早就政府管吃管住了,不用再去思考房价的事。
那么,今天的我们怎么办?给楼主一些建议:
1.看书。早期的学习渠道虽然多,但是比较杂乱,不成体系。我读书少,看了一眼书架,有几本书供楼主参考:《黑客大曝光 第7版》、《反欺骗的艺术》、《社会工程 安全体系中的人性漏洞》、《黑客秘笈 渗透测试实用指南》etc。
2.拜师。能看书,你就算入门了,但要进阶就需要有人带了。这一块CSIG各大实验室、TEG安平、企业IT都有很多资深的安全高手。具体怎么拜,拜谁,就看楼主造化了。要是不知道,楼主也可以找我,我给你私聊几个大佬,你买点水果找过去就好。
3.实践。这可能是楼主最关心的问题了。在当前的大环境下,需要真实环境练手,有一种合法渠道——SRC,欢迎楼主去TSRC积极提交漏洞。日常的实践,可以自建靶场环境,DVWA是不错的Web渗透训练环境,内网渗透的靶场则需要自己搭建。等练得差不多了,还可以参与到公司的红蓝对抗中,这也是难得的合法真实环境。
加油
【A4】
网络安全各种细分领域很多,Web安全属于其中一部分,适合新人入门。
Web安全入门建议:
1、买一些类似《白帽子讲Web安全》的书籍了解基础知识,黑客杂志在国内这个时代貌似已经消声匿迹了,类似”i春秋"这种网站也有很多适合小白入门的课程。;
2、搭建虚拟机环境,找一些网站系统学代码审计和常见漏洞测试与利用技巧;
3、参加国内各大SRC(安全应急响应中心)的漏洞奖励计划,在规则允许的范围进行测试,千万别越线做任何非授权安全测试,特别是涉及政府的网站;
4、Web安全门槛低但可深挖的技术也有很多,兴趣和耐心都很重要。
其它一些热门的安全领域,如移动安全、二进制安全、物联网安全、AI安全、区块链安全入门门槛会稍高,但学习方法其实是相似的,能成任何一个细分领域的安全专家都不容易。
最后,安全攻防一直是一体的,先从攻入手成就感可能会更高些,达到一定的高度时如何防自然也精通了。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
