卷首
几乎和去年写上一篇文章《自学白帽黑客第一年总结》一样,晚上翻来覆去睡不着,头脑中是这一年的经历不断的涌现,我想着去360的经历,想着最近审计代码的经历,以及我生活上和女孩子们发生的事情,我知道是时候把他写出来了。现在是2021年12月20日晚上22:45,这一年接近尾声了,马上就要迎接2022年,时间过得真快。话说去年是11月写的,比去年晚了一个多月写。惭愧的说我最近才找到属于自己的方向,才鼓起勇气好意思写一写。其实这一年的大部分时间在划水。
这篇文章我不想像上次一气呵成写完,因为我觉得把一件事做好才是最重要的。
因为映题,文章先写技术后写个人经历,对经历感兴趣的请移步:个人经历
技术
就好像是人的本能理解一样,人一听到网络安全,就会首先想到网络,那既然我要学网络安全,我肯定要先懂网络基础,再深入研究安全那.基于这种逻辑,很多一腔热血的小伙伴开始重复了我的老路.网安第一步,学习网络.开始了HCNA,CCNA的学习.
首先,我不反对多学知识,知识越多技术栈越全,对我们好处越多.在我学完路由器,交换机等知识后,我的确是对局域网广域网的网络布局更加了解了,在城市中各种信息通过一些协议互相传递.比如你接入wifi之后能访问到百度网页,这整个数据传输过程(当然不是很准确啊):数据流会经过你家里的路由器,路由器根据你访问的ip,选择下一跳的端口传输数据.通过交换机的传输走出局域网,进到广域网,然后不同地区的广域网之间的as域交换信息,最后再返回.
类似的或者一些办公室里面的小网络布局,你能有一个感性的认知.
我没干过红队,不过我猜应该是需要掌握网络知识的,毕竟渗透进企业的内网不清楚网络,也没法做跳板深入。然后,我知道的这方面涉及到安全的可能还有防火墙, 防火墙很强大, 具体的我也没学.不过我要提醒一点,不管是HCNA还是CCNA, 他在教你如何通过命令行配置网络设备, 能让不同的设备之间互相通信,属于数据通信, 如果你对设备或者防火墙本身感兴趣, 也可以尝试学习c/c++然后去试一试开发防火墙的工作
我就接着吐槽我去年写的东西吧
去年我还格外重点的分享了基本关于网络的理论书,基础的确很重要哇.如果你是入门的话,建议找一本入门级的书来看.不过我分享的那两本TCP/IP协议详解,和计算机网络自顶向下还是不建议新手或者初阶的朋友来看.原因就是, 首先你暂时根本用不到那么细致的tcp协议, 无法有一个感性的认知, 学起来很啃.其次, emmm有可能今后也不会用到. 等你需要扩充知识的时候,自然会去找相应的书. 我一般的主张就是, 先用到某些技术, 然后再学习理论知识.
我去年还分享了linux学习, 这块也属于基础, 需要学.前几天我面试了字节跳动的算是运维岗吧(基础部门),他们对linux命令行要求很深,而且一些协议和服务需要非常熟悉. 有精力还是找一本Linux命令行的书, 从头到尾敲一遍.说到Linux,我想起我好朋友了,他要从事c/c++方面的工作,最近再研究stl源码(主要是面试问), Linux服务开发等的知识.我个人觉得, 如果对底层感兴趣, 对病毒, 内核方面感兴趣建议学习c/c++.对逆向二进制感兴趣也要学哦,而且难度很高,要学操作系统,算法,数据结构,都要很精。但是我要给你提个醒,二进制门槛高,就业范围窄,什么意思呢,画个图就明白了。
学习逆向,在没有非常扎实的基础的情况下很难有原创漏洞产出,同时,就业门槛高。而web则是就业市场大,门槛低。当然现时情况是这样,不过,一句话,兴趣最重要。
然后底层不仅有Linux开发,你像深度学习底层的算法也是c写的.可以说推进深度学习的也是c吧,毕竟深度学习属于算法方向的. 永远是有科研, 有应用, 科研推动发展, 应用创造价值.
去年分享了个公众号:)没想到啊,这一年来挤爆了,我当时写完文章之后的几个月内,一千五百人的群就满了.也不知道是不是因为我的文章.我不是很喜欢这种涉及到利益的东西. 600块进个群。虽然当时我确实说我是再分享我的经历。其实,最初学的话,就是勤用浏览器就好了,想学什么就搜什么,哪怕你啥也不知道,你就直接搜“黑客”,你就很大概率看到一些网络安全的文章了,一点点按兴趣来。进阶学习可以找一些知识星球,还是有很多干货的。
去年我自己写了网站,这个怎么说呢,也属于基础范畴,漏洞的本质是代码,你的代码能力决定了上限。也不是说就要先去夯实基础,然后再学安全,他们是同时进行的。
去年还说了自己要多实战,这点其实是最困扰我的。说实话我这一年也没有多少实战,我很惭愧。我不给自己找开脱的理由,我这一年的实战,几乎是没有什么收获,最近和同事交流,加上学习一些之后反思后得出结论:本质上是对漏洞产生的位置掌握不佳,以及对漏洞类型的储备薄弱。比如哈,我们都知道,搜索框可以有sql注入,和xss。但如果传递数据是以json的格式,那么会不会有fastjson反序列化漏洞。这就是一个启发。首先,如果你不知道fastjson反序列化漏洞,那你就不可能发现这块的问题,这属于知识储备层面。其次,如果你知道fastjson,也从源码角度知道漏洞产生原因,同时知道几个利用链,也就是说知识储备没问题,但你不知道哪里可能存在json传递数据,也不太可能挖到漏洞,这是对漏洞产生位置掌握不佳。
前者的问题要通过不断的学习来弥补,学习各种各样的漏洞。我推荐你从vulhub上下载后去主动复现漏洞,学习漏洞产生的原因,如何利用。同时,掌握之后要思考,哪里可能存在这个漏洞。最后去fofa上找一找相关网站资源去验证你的想法(最好是国外的网站)。没有实战能力的黑客,不叫黑客,ok
报班从长远看不是捷径,他有可能扼杀掉你自己探索的乐趣,探索的能力。
下面说一说其他的吧:
自己现在在学java安全这块,也在尝试看一看漏洞的源码,工具的源码。其实挺难的,但是当花费时间把一个很难的东西搞懂了之后,也很有成就感,学习安全需要这种成就感,这意味着不要一上来就挑战最难,这样没有成就感容易放弃,一定要循序渐进,衡量好自己的能力缓慢前进。java安全其实看p牛(phith0n)的java漫谈系列不错,很详细,作为基础。然后平时看文章的同时要自己动手调试代码,这种是从根本上朝着实战,挖掘漏洞来走的,调试和理解源码很重要。我也关注了许少(4ra1n),他很努力,很热爱安全和学习,我在好多平台看到他发的一些文章,能学到东西,同时又给自己一些方向。我们年龄相仿他比我大一些,他是值得学习的榜样。
然后我想聊一聊公司。从21年7月份开始到现在得6个月了,我到处奔波实习。最开始去了北京360,然后去了西安绿盟,现在在杭州孝道科技。多的不想讲,大公司,福利待遇好,可以拓展眼界,但,能力不强就是干边缘的活。小公司团队氛围好,就像在学校,也有很多机会通过干活学到知识,但其他各方面相对差一些。北京除了住的远(进的离公司3公里,远的12公里都有),房价物价贵(住房3000一月20平合租),人多拥挤之外其他的都挺好的。西安个人感觉偏落后,我当时在雁塔区,不知是不是比较偏。杭州的话冬天比较冷,但是环境挺好的,房价不太贵(也就是说同比北京价格在2000左右,而且整租),住房位置也比北京多。上面仅代表我的经历和观点,而且比较片面,还是以个人感受为主,建议上学期间的假期多去外面实习,多走走看看。
其他关于技术这方面的具体细节,也没什么可讲,因为,如果你还是初级,那么做好我前面讲的基础,如果你在进阶,那大概知道自己要看什么样的技术文章。
个人经历
我自己这一年经历了很多,多于技术吧,不过过多的我不讲,我就说一些对大家有帮助的经历。
一句话总结:每个人都在自己的人生中,不要过多的干涉别人,也不要受其他人的过多干涉
其思想来源于《被讨厌的勇气》。阿德勒哲学属于个体心里学的鼻祖,同时呢我仍然关注弗洛伊德与武志红的心理学,心理学对我的意义在于,通过追寻童年的记忆学习一些长大以来丢失的事情,以及为各种感觉安放在固定框架上,来树立一些正确的三观。其实树立三观不只心理学,任何一门经典就足矣,重要在于坚持积累,以及保持空杯的心态。读书成为我这一年来养成的两大习惯之一,另一个是跑步,跑步真的是生命不可或缺的东西,跑步时没有在想什么,就是处于静止同时很愉悦的状态。自己有关注一些b站的马拉松大神,学习如何科学的运动,希望你也可以动起来,一起跑步!
这一年我更新了很多知乎,关于我的个人想法,就是20多岁初步了解世界所产生的想法吧,主要是记录。不过后来让我删去大半,我都储存在印象笔记里了。没有过多的原因,我只是想为自己而活,不是为了别人的赞与关注。
其实这一年也相处了几个女生,曾和去年心态一样被拒到怀疑人生,但现在我转变看法了。我不是为了其他任何人而活,而她们的种种思想与做法仅代表她们,每个人对于我的定义都不同,而我只要在意自身的提升与对生活的热爱就好,过多的不需要考虑。听起来有些自私,但是,事实就是这样,她们会离开,而生活还在继续。即使是自己喜欢的人,那你也没有权力干涉她是否喜欢你,你只能做好自己。那再多的顾虑可能就是的确在交流上,没有达到很好,而交流不仅仅有女生还有男生,按照武志红讲的他们没能感受到你内在的黑色生命力,或者缺少一些弗洛伊德讲的攻击与性,因此你们没有建立很亲密信任的关系,那也没关系,自己始终是在进步的就好。是当克服人生重重困难痛苦之后遇见同样热爱生活的她,这就是爱情最好的样子。
尾声
现在2022年1月20日了,写了一个月。。其实就写了三天,其他时间不知道在忙什么。下次再写文章总结应该是我已经毕业了,希望自己可以更进一步。
239
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
