最近在吐司上、各个大佬公众号里看了很多安全路线,但毫无疑问的是大佬在乎的都是 基础 、 编程 、原理 。
将掌握的安全领域搞深、搞广,这样下来或许你也成为论坛里无所不知的大佬了。
最近这个月赶了端午活动挖几个src,参与活动进去的感觉是非常热闹而且开心的,但仔细思考未来的发展方向觉得总是靠野路子挖洞的是走不远的基础不牢,编程小白,原理抓瞎,在看吐司上的大佬发的技术分析文章看不懂,公众号文章多个领域知识发现自身没接触的时候发觉自己的基础太差;在领导安排分析数据、过滤IP,做个安全脚本时,还要去百度上查找copy下来修改,到用时才知读书方恨少,内心及其尴尬。
准备在博客上学习记录的为编程语言、通信基础、系统常用命令等内容:
基础篇:
1.语言方面:掌握python语言,熟读java、php、汇编语言逻辑;
2.通信协议:tcp/ip协议基础,https证书;
3.系统方面:linux、windows 应急常用命令;
公众号学习记录:
以全面技术打好基础为首要目标,偶尔穿插学习甲方安全建设体系内各个组成部分概念
攻防手段互相参考,思路才可共同提高。
web篇:
4.数据库方面:熟练使用MySQL、MongoDB、Redis等常见数据库;
5.渗透测试:sql注入、Xss攻击、命令注入、CSRF攻击、上传漏洞、解析漏洞分别熟练原理及各种绕过方式,前端安全都能理解;
安卓篇:
6.安卓开发:熟悉 Android 开发, 熟练掌握 Android 基本概念,;
7、熟悉 JNI 机制, 熟悉 NDK 编程, 熟悉汇编;
8、熟悉 dex/elf文件格式,了解基本的app加固方法和手段
9、熟悉 Android Linker、SO 的动态加载机制,实现过 SO 加密保护壳
10、熟悉 Dex 文件格式及相关的动态加载机制,了解 Dex 保护壳的开发
11、了解 apk中h5,js相关资源的加固方法
12、熟悉 Android 系统下常见的反调试方法
甲方安全建设:
13. 整体框架
14.各组成部分功能及原理
所以计划出一个安全学习的清单,我会每周至少更新一篇,督促自己学习,也分享给同样处于入门级迷茫的伙伴。这次的文章整理的目标是熟悉linux、windows的操作系统命令、目录结构、重要敏感文件,熟练进行linux、windows安全基线运维;掌握简单的shell、批处理脚本编写,python的网络编程、爬虫、文件处理;了解各种协议的特点、结构及使用场景;独立进行web、移动端的渗透测试;熟悉数据加解密类型。先不求样样精通,将各部分基础掌握,然后根据方向开始进阶深入。
希望可以留言给些中肯建议,共勉!