安全行业的技术人员大多数都是从 web 安全学起的,一路走来成为大佬之后也会建议初学者先学习 web 安全,那么为什么会出现这样的情况呢?
我认为一方面是因为前些年,互联网时代爆发,大量的 web 应用出现在大众视野,由于发展速度极快加上安全意识不足,导致大量存在安全问题的应用上线,web 安全问题大量涌现,这一批的安全从业人员都是从黑站开始自己的安全职业生涯。
后面又出现了移动互联网时代、5 G 时代、IOT 时代,安全问题的主体发生了变化,大家也越来越感觉到 web 安全问题越来越少,做渗透测试的人员,挖到漏洞的数量越来越少,工作产出的价值也越来越小。而新的时代面临的安全问题虽然比较多,但是门槛有了大的提高。那么如今的安全从业人员该怎么入门安全这个行业呢?
之前我也说过,安全不是以主体存在的,主体是基础设施,比如:web 应用、移动 APP、IOT 设备、人员、网络、操作系统等,如果想要找出任何实体的安全问题,首先要做的就是对主体的理解和熟悉,如果你对主体一无所知,那么如何找出主体的安全问题呢?
单纯熟悉主体还不够,作为安全从业人员应该拥有一项特殊的技能,就是安全的思维,不走寻常路的极客思维,主体规定好的使用场景不是我们重点关注的,我们关注的是能够突破现有的使用方式,用一些主体想不到的方式进行尝试,从而找出安全问题。那么安全这种思维如何锻炼呢?
我们在大学的时候都会学一些编程知识,会写一些客户端软件或者 web 应用。由于 web 安全相对其他方向来说发展的时间最长,也是最成熟的,互联网行业的编程知识是基础,相对而言,学习 web 安全是最简单方便的,从 web 安全的学习过程中可以锻炼我们的安全思维或者极客思维,让我们在考虑问题的时候,更多的考虑边界之外的事情,比如,一个输入框,要求我输入数字,那我可能就要尝试负数、字母等要求之外的参数,如果没有做严格的限制和检查,那么这个输入框就是有问题的。
同样的,任何安全问题就是在设计之初没有考虑到的、或者觉得没有必要做的事情,比如:越权的问题就是在设计的时候没有考虑权限问题,认为没有提供操作的按钮就没人做额外的操作。
做安全大家都说攻防,攻击就是找主体的脆弱点,突破主体的限制达到额外的效果,而防御一开始可能没有,随着攻击者的不断突破,防御的措施也在不断的加强,从而让主体越来越安全,一直以来都是攻击在前,防御在后。安全从业人员也都有一个共识,没有百分之百安全的系统,也就是防御是防不住的,安全防御人员能做的就是提高攻击的门槛,做好事后应急和溯源打击,让攻击者不敢发动攻击,减少安全事件的发生。
说了这么多,那么你觉得安全从业人员的入门该怎么学?你是怎么入门安全行业的?
你对安全行业有什么看法?欢迎留言!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
