大家好,经常会遇到有人会去问这个问题,而对于刚入门安全的同学来说也确实是一个避不开的话题。
这说这个话题之前,我们尝试来解析这个问题的目的:
1、知识面扩展:获取最新的安全资讯,了解圈内、行业内的动态
2、技术进步:获取最新的安全事件、漏洞、技术应用
3、分享交流:参与相关技术、事件讨论,分享交流技术、意见
主要是分为这三个方面的目的,那么我们就从这三方面说说:
首先是知识面的扩展,了解圈内、行业内最新动态
这里建议大家在关注国内安全动态的同时也多关注国外的动态,因为往往很多行业的新方向、新动作经常性的来自国外,国内很多时候一些厂商动作经常是一种学习,当然国内也有很多领先的动作,都应该兼顾;很多安全公司的一些动态、动作可能更多的是一种自我宣传,选择性关注;不要漏掉对一些新的安全产品的关注,尽可能的去了解背后涉及的技术点。
其次是技术进步和分享交流
不管是学习追求技术进步或者是想要去参与分享和交流,表达自己的观点,分享自己的技术点,本质上其实都是寻求技术上的进步和获取认同感,引发讨论。那么想要寻求技术的进步,可能更多的还是取决于自己的学习路线,主动去获取学习一些技能,比如参与安全课程学习、阅读一篇经验心得的文章,还有比如说为了写一篇技术文,可能会涉及到不同的知识点,那么是否自己都掌握并且能解释清楚?是不是该去补充某个方面?还有比如跟踪分析最新的漏洞,查看别人的漏洞分析、入侵溯源分析,学习别人的思路和方法,这些都是寻求技术进步的方式。
不过除了学,重要的还是做
很多人在看别人写的东西的时候很容易产生这样一种感觉,就是看完文章,觉得自己都懂,其实自己早就了解并且碰到过,只是没有总结成一篇文章或者正好没看到这个点,再者就是自己其实早就有个这个想法,觉得别人的算不上什么新思路,但往往觉得自己会的,在遇到实际的问题要解决的时候,就会忘得一干二净,根本想不起这些东西或者不懂得怎么去做;所以更关键的是,除了看,还要去练,去做。
至于分享和交流,对于初学者来说,首先分享的角度,不要怕自己分享的东西比较low,任何你觉得可以总结的东西都可以分享,分享除了把自己的思路、总结分享给他人之外,其实也是一种复习和查缺补漏,就像刚才说的,写一篇文章,你才会知道自己有哪些点其实掌握的并不是那么到位,那么就需要去补齐。多写,多记录,总不会错。
而交流的话,初学者建议还是多看、多听、多问,另外就是大胆提想法,不用怕被人鄙视,你是初学者,你有这样的权利,反而对于行业内一些老人,有时才会说去顾忌自己问的问题太low显得自己不懂。但实际上,不懂就是不懂,没什么的。大胆的提问和提自己想法才能很直接的得到自己想要的答案,验证自己的想法是否正确,是否完善,不然如果只是自己单纯的靠自己去获取答案,去验证,需要付出很多倍的努力。
以上就是从三个方面的一些建议
那么讲完这些,又该去哪去获取这些需要的东西呢?去参与交流呢?
有几个途径:
1、访问安全媒体、技术分享平台获取信息
2、加一些行业、圈内的人、群,关注一些公众号,那么可以通过朋友圈、群里、公众号分享的内容获取信息
3、关注牛人的微博、Twitter
4、关注一些不错的博客等
5、注册成为现存不多的一些技术论坛和社区会员
6、参与行业内的活动(沙龙、安全会议等)
那么成为一名合格的网络安全工程师需要具备哪些能力?
1、网络安全技术方面
包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。
2、对计算机系统有深入的了解,掌握常用的编程语言
例如windows及企业常用的linux系统,编程语言如:Java、php 、python、c、c++。编程语言理论上来说是多多益善, 如果精力不足,至少要会常用的。
3、了解主流网网络安全产品
比如防火墙、入侵检测系统、扫描仪等等。
4、安全协议方面
这部分内容很多和web安全是相通的。熟悉sql 注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos 攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置。
5、机器学习算法
机器学习是一门人工智能的科学,该领域的主要研究对象是人工智能,特别是如何在经验学习中改善具体算法的性能,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。
6、人工智能
人工智能是研究使计算机来模拟人的某些思维过程和智能行为的学科,主要包括计算机实现智能的原理、制造类似于人脑智能的计算机,使计算机能实现更高层次的应用。人工智能将涉及到计算机科学、心理学、哲学和语言学等学科。可以说几乎是自然科学和社会科学的所有学科,其范围已远远超出了计算机科学的范畴,人工智能与思维科学的关系是实践和理论的关系,人工智能是处于思维科学的技术应用层次,是它的一个应用分支。
7、大数据分析
大数据分析是指对规模巨大的数据进行分析。大数据可以概括为4个V, 数据量大(Volume)、速度快(Velocity)、类型多(Variety)、价值(Value)。大数据作为时下最火热的IT行业的词汇,随之而来的数据仓库、数据安全、数据分析、数据挖掘等等围绕大数据的商业价值的利用逐渐成为行业人士争相追捧的利润焦点。
8、逆向汇编
汇编语言是一切程序的起点和终点,毕竟所有的高级语言都是建立在汇编基础之上的。在许多高级语言中我们都需要相对明确的语法,但是在汇编中,我们会使用一些单词缩写和数字来表达程序。 一句话总结,咱们搞网络安全的人简直是全能型人才,文能提笔安天下,武能上马定乾坤,说的有点浮夸了。
如何成为一名优秀的网络安全工程师?
这里可以参考下面这张成长路线图:
视频教程
书籍资料
SRC资料包&HW护网行动
面试题资料
源码&安装包
最后,给大家整理了一个简单的学习方法,可以借鉴:
1. 多看书
阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。
例如:《黑客攻防---web安全实战详解》《Web前端黑客技术揭秘》《安全之路:Web渗透技术及实战案例解析(第2版)》
现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书。
当然纸上谈兵终觉浅,不实践一下怎么好呢。
2.常用工具的学习
1.Burpsuite学习 Proxy 抓包改包学习 Intruder 爆破模块学习实用 Bapp 应用商店中的插件2.Nmap使用 Nmap 探测目标主机所开放的端口使用 Nmap 探测目标主机的网络服务,判断其服务名称及版本号3.SQLMap对 AWVS 中扫描出的 SQL 注入漏洞使用 SQLMap 进行数据获取实践常见漏洞类型的挖掘与利用方
3.学习开发
1.书籍《细说 PHP》
2.实践使用 PHP 写一个列目录的脚本,可以通过参数列出任意目录的列表使用 PHP 抓取一个网页的内容并输出使用 PHP 抓取一个网页的内容并写入到Mysql数据库再输出。
也可以找一个线下的培训班,系统的学习一下,都是可以的。
尾言
说实话,上面讲到的资料包获取没有任何门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是 “如何行动”,其实是 “无法开始”。
几乎任何一个领域都是这样,所谓 “万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比什么都重要。
网络安全领域就像是一棵硕果累累的参天大树,底下站着无数观望者,他们都声称自己喜欢网络安全,想上树摘果,但面对时不时垂下来的藤枝,他们却踌躇不前,犹豫不决。
实际上,只要任意抓住一根藤枝,都能爬上这棵树。
大部分人缺的,就是这么一个开端。
1837
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
