他山之石-3
2018-07-03
安全思考
猪猪侠 为什么国内搞攻防,扎堆在WEB安全、渗透测试这两块的人最多?因为这两块是最容易的,只需要XSS弹个框,就能说自己是做WEB安全的,SQL注入输入一个单引号,跑跑sqlmap、就能对外说自己是做渗透测试的。
@ringzero: 我有幸经历过的几个方向,都发现了一个规律,在你入门一个方向后,掌握一些基本的规律后,剩下的时间等待你的是漫长的日积月累,提升,反复操练日站的过程,从一个随机的漏洞发现者,变成一个稳定的漏洞发现者。
@ringzero: 两种技能,两个方向都会,你已经升级成安全工程师了。
@muras4ki:市场需求啊,国内大部分公司并不需要研究内核之类的的人才,反倒是需要多跑跑sqlmap。
就国内这群人也能叫做玩脚本做渗透的?基础不牢什么方向都是个半吊子,web上有pwntester的思路么,前端看得过日本小哥jun了吗,玩渗透思路有po主灵活了吗,以为做web就不需要学好计算机基础不用明白底层原理,无论做什么方向都只能是个熟练工人而不是能匹配放在现在诸多“白帽子”title上的安全研究员。
- 系统学习安全知识。
- 术业有专攻。自己选择一条喜欢的路。
- 安全技术的不确定性,技术的迭代。像过电影一样过一遍。
- 理论+实践。
- 慢慢来,从浅入深。
- 学习sql注入,明白其中原理,学习数据库中的知识,表面的引入,从原理的深入。
- 扫描器的原理,工具的用法后,然后如何写,自己怎么去写。
- 那里不懂,学那里。
- SRC的未来。
- 安全为了业务服务。
- 为用户提供安全感!
- 京东小课堂
0126 永远记住一件事,李安是编剧出身,而且是很厉害的那种。张艺谋的本子,是一群人在旅馆里侃出来的。这是两者最大的差距。 根本的本质问题,就是剧本的自我生产力! 张和李的最大差距就是编剧的自我创造能力。 回归到自己的工作,做一个安全人,自己是否会有创造能力。就是研发编程能力,能够创造工具,实现自己的想法。
回归到自己身上,如何提升技术能力。居上不居下,做一个出色或者专家级别的安全研究员,很多知识需要研究系列,不只是表面的了解,深入系列原理,这个会需要你一遍遍的重复,思考。