Life-note +

关于网络安全学习的合辑

2024-11-15

难得有一位世界级别的黑客愿意分享自己的一些经验,你就要珍贵这些经验,在工作及生活中有所应用。你之前听取了两个建议,受益了。后面那么下面这些经验还得要慢慢理解消化实践。

思考

价值信息

答一位热爱网络安全的同学的来信

您好!

我是一个对网络安全很感兴趣的大学生,我叫***,现在和几个朋友一起学习网络安全技术。希望大四时可以到您的团队学习,我们想知道玄武的实习生招聘要求有那些?我们会在在两年时间里不断学习,并且向这些目标迈进。

-——————————————————————-

谢谢对玄武实验室的关注和对我的信任。

实验室对实习同学的要求,其实主要就两点:1、对信息安全有比较整体的认识;2、至少钻研过一两项工业界的技术,有深入的了解和一定的成果。

读了来信,我感觉你是一个勤奋好学的人,这很难得。大学时代是最适合学习的时候——这听起来有点像废话,但在这段时间里,你有很多时间,而没有生存压力,你的记忆力处于一生中的巅峰状态,你即使一夜不睡也可以很快恢复精力。毕业后可能再也不会有同时具备这些条件的时间了。

有了勤奋,接下来主要是在什么方向上勤奋的问题。

技术可以分为学术界和工业界,这两者都有意义,互有交叉,但其实区别也很大。企业需要的技术主要是工业界的技术,而在学校的环境里,不少人学术上不错,但对工业界的方向和需求了解比较少。前阵子有位高校的青年教师给我写信,谈了他做的研究。我发现他的技术很好,但做过的东西离工业界比较远。北美华人安全学术界的宋晓东(Dawn Song)教授、蒋旭宪(XuxianJiang)教授都是把学术和应用结合的比较好的代表。你们可以读一读他们的研究,体会一下。

还有一个比较好的方法是阅读工业界安全会议的资料。从这些资料中也许学不到什么技术细节,但可以看看大家在做些什么,哪些自己比较感兴趣,然后选一两个方向,寻找相关资料深入学习。

信息安全走向漫谈

2006.08.13

村长<airsupply#0x557.org>邀我来B105沙龙和大家闲扯。而我近来的工作是拉磨居多,接客其次,实在没有什么新货。村长说:不必讲技术,可以谈谈“信息安全的现状和未来”。我思前想后,觉得这个题目纲领性太强,我这点资历讲起来显然自不量力。还是改称“信息安全走向漫谈”显得比较低调。漫谈漫谈,就是漫天乱谈,谈错了不要紧。万一谈得对,就算蒙上了。

1、学什么技术不会过时?

常有人跟我发牢骚,说搞技术太累,总要学新东西。还总问,安全技术未来的方向是什么,学什么技术不会过时,五年十年之后还能混饭?

每到这时我都很尴尬,不知道应该说什么。

有些朋友知道,我读了五年医科大学。很多人认为医生是一个稳定的职业,医学是保值的知识,学完了就可以躺在上面吃一辈子。其实恰恰相反。稍大一点的医院都有自己的图书馆。年轻医生就不用说了,很多六十多岁的老医生上门诊,抽屉里还放着一本专业书,有病人的时候就给人看病,没病人就拉开抽屉看书。以前儿科的老主任对我说过:干医生这一行,半个月不去图书馆读文献,就落后了。毛主席说“三天不学习,赶不上刘少奇。”医生这一行就是这样。

我们家乡有句俗话,叫“看别人吃豆腐觉得牙齿快”。很多技术人员都觉得销售这个活儿好干,工作就是吃喝玩乐混关系,挣钱又多,还不费脑子。我只能说“那你去试试看吧”。先甭说销售绝对不是不费脑子的活儿,也绝对不是光靠“吃喝玩乐混关系”就行的。就算是,这“吃喝玩乐混关系”七个字岂是简单的?谁刚从台上下来满怀落寞但还有一些重要关系?谁虽然只是个普通教授但是诸多弟子都身居要职?谁手里有指标但自己不能完全做主?谁行政级别高但没有实权?新上来一把手是爱人民币爱高尔夫爱燕鲍翅还是爱制服捆绑?京城里何处灯最红何处酒最绿?——这些信息都是动态的,变化的,而且靠订阅邮件列表和看BBS是得不到的。不收集,不学习,咋整?

公交车站牌上贴的那些招聘职位,没有学历要求,只要“形象好,气质佳,思想开放”就可以“日薪1500以上”,这个钱挣起来算是容易又轻松了吧?其实即便从事这种地球上最古老的职业,学和不学那也是大大不同。苏小小、李师师的时代,要上头牌都得会琴棋书画,填词唱曲。到了十里洋场上海滩,根据才情高低也要分出“书寓”、“长三”、“幺二”来,啥都不会就只能混“野鸡堂子”。现在没那么多讲究了,不过“一剑穿心毒龙钻,冰火红绳空中飞”这些基本业务总还得学,要不然也还是“野鸡堂子”、Street-Walker的命。

那究竟有没有什么是学了不会过时的呢?学会学习的方法,学会从学习中获得快乐,这是永不过时的。如果享受不了汲取知识的快乐,那就不适合做任何需要脑力的工作。

2、信息安全的未来如何?

最近一两年,大家感觉信息安全形势比前两年要好些了,不再像2002、2003年的时候,漏洞满天飞,蠕虫遍地爬。于是有人开始担心:漏洞少了的确有利于信息安全,但这样下去,最终会不会导致我们失业?

对此我是这样看的:信息安全技术的发展将来一定会有技术方向上的变化,但不会有前途上的问题。

电影《笑傲江湖》中任我行说:“有人就有江湖 ”。从有马帮的那一天起,就有马贼;从有海船的那一天起,就有海盗。有盗贼怎么办?理论上靠官府,实际上靠自己。自己搞不定怎么办?花钱找镖局。几千年来,什么时候这个格局改变过?过去镖局保的是金银,今天我们保的,归根结底也还是金银。从这个意义上讲,我们这个行业其实是镖局发展进入信息时代后,出现前面说的“技术方向上的变化”,而化生出来的。

所以,只要人类社会还存在信息交换行为,只要这些信息交换涉及到利益,就会有人试图改变这些利益的分配规则,就会有对信息安全的需求。百川归大海,这是一个根本法则,不管中间怎么九曲十八弯,最终,这个根本法则是不会有什么变化的。

大家感觉信息安全形势比前两年要好,可能一个主要原因就是看到软硬件厂商对安全越来越重视,安全措施越来越多。而看起来,比较严重的安全漏洞似乎有减少的趋势。互联网上几乎每台机器都有防火墙保护。新的Fedora Core默认开启了Linux的很多安全特性,而且看起来以后会一直这样下去。微软将要发布的Vista也似乎是一个强健无比的系统。这一切仿佛都在暗示信息安全会成为一个历史阶段性的事物,随着安全形势的进一步好转,这个行业也会逐渐淡去。

下面我们具体来谈谈这些问题。

Vista是个纸老虎

很多搞Windows安全的人最近都着实被微软的Vista给吓着了,觉得以后Windows就安全了,没什么可搞了。微软号称这个系统比前代大大增强了安全性。不过大家别忘了,微软推出Windows 2000的时候是这么宣传的,推出Windows XP的时候是这么宣传的,推出Windows 2003的时候也是这么宣传的。

当然,实事求是地说,从我们最近一段时间对Vista Beta版的研究来看,这个新系统的确采取了很多新的安全特性,大大增加了传统漏洞的利用难度;新的开发过程和开发工具也的确降低了漏洞发生的几率,比起之前的产品在安全上可以说有一个大飞跃。

但关键问题是:人们真的会接受这样一个用大量确认窗口和限制措施来虐待用户的操作系统么?更别提可怕的资源占用和乌龟般的速度了。至少我是绝对不会用这个东西的。估计在Vista正式上市后,各种Windows优化软件肯定会立即提供关闭这些安全特性的功能。

信息安全,信息为肉,安全为骨。肉无骨则不立,骨无肉则不活。蚯蚓之类,只有肉没有骨,尚可以慢慢蠕动,可以不太精彩地活下去;但是没有肉,光剩骨头,什么动物也活不了。安全措施对用户的扰动越小,就越容易被接受。时刻发挥作用,却几乎感觉不到它的存在,这就是安全工作的至善境界,也是最难达到的目标。要不然为什么杜雷斯的超薄型卖得贵还那么受欢迎。

在我看来,Vista就是个至少一厘米厚的杜雷斯。

任何企业的目标都是挣钱,只有当维护用户安全和挣钱这个目标恰好吻合时,它就会设法增强用户安全,如果维护用户安全影响了挣钱这个目标,它一定会考虑重新调整两边的砝码。

今天我在这里关起门来做个大胆的预言:Vista终将成为一个类似Windows ME那样没什么人愿意用的失败产品。微软甚至可能会在Vista后续的Service Pack或者下一代操作系统中取消或者减弱一些影响用户体验的强制安全特性。

另外,这个一厘米厚的杜雷斯是否真的就比0.03mm的超薄型安全333.33倍?值得怀疑。Windows 95只有1500万行代码,Windows 98有1800万行代码,Windows XP 有3500万行。Vista 则有5000万行,比XP多出了40%。新代码带来新功能,同样,新代码也必然会引入新漏洞。

毛主席说过,“一切反动派都是纸老虎。看起来,反动派的样子是可怕的,但是实际上并没有什么了不起的力量。从长远的观点看问题,真正强大的力量不是属于反动派,而是属于人民。”在我看来,Vista也很可能是个纸老虎。假以时日,纸老虎的软裆必然会被一一发现。

退一步讲,即便Vista、Fedora Core等为代表的新一拨操作系统真的是一个漏洞都没有了,从整体上看,信息安全态势仍然不乐观。

未来,各行各业各领域都将数字化,生活的方方面面都离不开信息技术。各种不同的信息技术交织在一起,构成巨大的宏信息世界,比我们现在的互联网大得多,复杂得多。安全问题也会随之复杂和严重。现在个人电脑上那一点点漏洞到那时候看就很渺小了。想想看,以前是你的电脑被入侵,以后你的电饭锅被入侵;过去是让你上网慢,以后让你吃夹生饭。

既然这样,为什么我们还要用信息技术呢?这一页PPT的标题叫做“信息技术是个狐狸精”。狐狸精,大家知道是什么吧,就是你知道她可能会害你,但身不由己。为什么呢?还是因为好,足够好到让你愿意冒这个险。

上高中时候,学摄影,用胶片,大夏天也要自己闷在暗房里冲洗。现在都是数码相机,随拍随看,多么方便。上大学的时候,大家都用“Walk-Man”,阔气一点的听随身CD、MD。现在一个火柴盒大小的MP3就都搞定了,价钱也便宜。

我在网上买过一个二手CF卡。拿回来,用数据恢复软件一看,里面有几张刑事案件的现场照片,血迹斑斑。还拍了受害人。这个卡不知道是哪个派出所淘汰下来的。如果追究起来,肯定要有人受到不好的影响。这种事情,在用胶片的时代不会有。但今天,新问题就出现了。

这些是什么啊?是狐狸精。狐狸精太好了,你很难舍弃。但糖衣好吃,炮弹难挡。信息技术发展的这么快,配套的安全很难跟得上。大家想想,汽车发明多少年后才有的安全带、安全气囊?有了安全带、安全气囊,每年还要车祸死多少人?每年车祸死这么多人,大家是不是还一样开车?这就是狐狸精,死都离不开。

今年世界杯,就有人提出,要在每个球员身上装RFID,对球员进行实时精确定位,用来作为裁判的辅助依据。虽然最后没有这么干,但这一天迟早会到来(注:后来才知道,马拉松比赛已经开始用RFID来跟踪选手的位置)。

(此处省略几页对RFID安全问题科普讲解的PPT内容)

刚才讲的比较科幻。落到现实中来,你我能看到的未来若干年中,可能的新热点有:Wi-Fi、蓝牙、WiMax、UWB等无线通信技术的安全问题,RFID的安全问题,消费类个人电子产品的安全问题,数字家电的安全问题,等等。

人类社会用信息技术越多,意味着越多的的财富和荣誉将由数字介质承载,越多的风险将是信息安全风险,信息安全技术就越重要,这个职业就越重要。

现在国外有种职业叫保安顾问,保障你现实世界的安全。有为企业服务的,也有为个人服务的。我瞎猜一下:在未来,可能要有类似这样的信息安全顾问。而且可能比较普及,就像现在国外的私人医生、私人律师一样。 退一万步说:信息安全企业也许会消失,但信息安全这个职业永远不会消失——只要人类还使用信息技术。

谢谢大家。

安全研究者的个人成长

一位老师问我当年自学时看的是什么书,想推荐给他的学生。十几年前国内安全方面的书不多,选择余地很小。而且我那时啥都不懂,对书也没什么鉴别能力,基本是看到就买,买来就学。所以我把在实验室内部给新同学们讲安全研究者个人成长的 PPT 发给了他,这对同学们来说可能比推荐几本书更有价值。

image-20241114160731681

image-20241114160752996

如何学习

学校教育的方式是:由浅入深,先理论再实践,多门基础课一起平面推进。这种方式的好处是学得扎实,适合批量培养人。缺点是出活儿慢,没有利用人的内驱力。

师傅带徒弟或者自学的情况下就不一定要按批量教学的方式来。

我个人的经验是不管会不会,先动手搞起来。而且不搞太入门的,要难度中等,这样才有成就感,能形成正反馈,调动内驱力。过程中会遇到很多不懂的东西,没关系,遇到什么就去学什么。这个阶段不求多求全,以把手头的东西搞起来为目标。搞成了再设定一个更难的新目标。新老目标之间要有继承性。最后等高难度目标也能搞定了,再转过头系统性地去看看相关技术资料,加固一下地基。

如何研究

十几年前流行过一篇文章叫《把信带给加西亚》。前些年又流行过批判这篇文章。研究工作大多和那位送信者面临的情况差不多:有一封信交给你,让你送给加西亚。加西亚在哪儿?没人知道。你得自己找,把信送到。

做研究工作,第一步是资料查找。这是从事研究探索最基础的能力,非常重要。而且也没有想象的那么简单,并不是每次把想问的问题输入搜索引擎都能得到答案。所以没找到答案可能不是没有答案。具体用哪些关键词、怎么组合这些词、怎么根据第一步搜索结果中的线索再提取关键词、怎么判断搜索结果有效性,等等,这些都需要反复实践和归纳思考。

通过资料查找,就可以知道是否有人做过类似工作,是否有可直接参考的资料。有时候你会发现全世界也没人做过类似工作。这时就需要针对目标,进行路径分析,看看有哪些路可能通往目标,然后再针对这些分解出的路径再进行资料查找。

这种目标分解有时候会不止一层。也就是说那些分解出来的路径也可能没有资料。那就需要针对路径再作路径分解。然后遍历这些路径。

从历史经验看,天分高、脑子快、手速快、对技术路径有敏锐直觉的人,当然能干得快一些。而一般人只要愿意坚持遍历路径,能扛得住长期得不到正反馈,大部分也能干出成绩。就是会痛苦一些。别人乐在其中,你苦在其中。不怕苦的话也行。

如何成长

刚参加工作的时候,部门接到各类任务,领导问我能不能干,我一般都说让我去试试吧。然后抓紧时间查资料,学习和这项工作有关的内容。

勇敢接受工作挑战,可以让人快速成长。也会让你有更多的机会,这是个马太效应的事儿。我记得当时的领导给过我这样一个评语:“不管什么工作,交给你我就放心了,反正你总有办法搞定”。

当然也要了解清楚需求,特别是对时间的要求,评估好是否在自己跳一跳能够得着的范围内。

敲代码的如何转行挖掘漏洞

【敲代码的,如何转行挖掘漏洞?】 “本人写了五六年Linux C,应用层业务为主,技术含量不算太高;C语言比较熟练,C++仅做过Win下MFC的简单项目;Linux kernel大致了解,写过简单的驱动;对于理论、算法之类的比较薄弱。是否可转行Linux或Win下漏洞挖掘?还需要补充点什么知识?多谢前辈们的指点。”

给你个建议:别想那么多,先干起来再说。

我找到第一个漏洞的时候,还在医院实习,只会写几行批处理。为了写 PoC 需要学编程语言,看电脑报介绍过 Perl,就去买了本《Perl 编程 24 学时教程》。后来为了写更好的 Exploit 学了 C 语言。再后来,为了各种研究读各种 RFC、调各种程序、读各种代码、试各种工具,等等。干这行,你永远不知道未来需要会什么。所以什么都可以不会,但不能学不会。

网络安全初学者应该看什么书

前阵子遇到一个对网络安全感兴趣的中学生,让我推荐一本书。我告诉他:

随便找一个书店,在网络安全分类下面随便找一本书,然后从第一页开始学。 如果觉得学不下去,那可能是书有问题,就换一本。 如果换一本还是学不下去,就再换一本。 如果换了三四本都还学不下去,可能就不是书的问题。 如果能学得下去,等这本书学完,接下来该学什么,你会有自己的想法,不需要再问别人了。

书籍:计算机安全导论:深度实践

网络安全的书读不懂怎么办

【《Web前端黑客技术揭秘》《白帽子讲Web安全》好难,怎么读?】 “我看了一下这两本书,都不是基础的,字里行间透露出的都是专业术语,感觉要晕啊,求教该学什么打基础,才能读懂”

用搜索引擎搜索每一个看不懂的术语。

学习网络安全最重要的是什么

一桌菜,十几盘,有荤有素,有凉有热,怎么吃呢?你可以找一盘看起来好吃的,也可以找一盘离自己近的,都行。但是,得动筷子。不管怎么吃,最重要的是得动筷子。学技术也是一样。

有的人死活不动筷子,还不断念叨:“我要开始吃了。我马上就要开始吃了。我只要开始吃就能吃饱。我吃饱了就不饿了。你能不能告诉我该先吃哪一盘?先冷盘后热菜再喝汤这样是不是最好?但是我听说广东人都是先喝汤?这盘菜会不会太远了?这盘会不会太油腻?我吃饱了万一想拉屎你们这里有厕所吗?我真的马上就要开始吃了……为什么我现在还是饿?你能不能帮帮我?”

如何才能系统的学习逆向

问哈CTF逆向大佬,如何才能系统的学习逆向?】 『一个菜鸡WEB选手想学re』

我也是先学WEB后学逆向的。从我的经验看,首先应该抛弃“系统的学习”这个想法。因为逆向需要用人的自然语言逻辑去适应程序的机器指令逻辑,痛苦指数比较高。要拮抗这个痛苦,需要持续有正反馈。但“系统的学习”相对难以持续提供正反馈。

所以比较好的方式是给自己找一些难度中等,又比较有意思的目标来入手,比如给 notepad.exe 的菜单里增加一个功能。在这个入手过程中,先不用想系统不系统的问题,搞到哪儿算哪儿。入手之后,完成了最痛苦的那个门槛翻越,后面就和学别的差不多了。

学习网络安全的最佳路线是什么

“怎么学XX”这样的问题,有点类似问路。别人只能给你指个方向。但多数人想要的都是 GPS,给他规划好详细路线,到哪儿该变道,实时路况怎么样。多学一点额外的东西,就感觉自己吃亏了。

“从西直门到天安门怎么走?” “坐地铁二号线到复兴门再转一号线。” “我看地图这样是走了一个直角,感觉绕远了。有没有直接去的路?” “有啊,你飞过去。别飞太高,不然起飞降落要多花不少力气。”

确实是这样的,别人只能给你一个方向。实际具体细节还得自己亲自操作,凡事要靠自己去做。

程序员如何判断自己是否适合做安全研究

有人跟我说以前是程序员,问能否转干安全研究。我问他有没有自己研究过什么,他说还没有,但一直很感兴趣。然后我问他感兴趣了多少年,他就沉默了。当然,这至少说明他脑子很快,迅速知道我想表达什么:天天对着电脑,真感兴趣怎么可能从来没研究过——你跟林志玲睡一个床能好几年一直盖棉被纯聊天?

感兴趣的话,就去做。有实际的行动!

学习网络安全多久后水平能达到一定程度

类似“能达到什么程度”、“有多好”这种问题,无法给出有意义的答案。因为问题本身没有意义。

一定要问的话,答案统一为:42。

每个人的情况不一样,没有一个具体的值。

42的意思是,“你都不知道自己在问些什么” 没有答案。

信息安全方向就业要考哪些证书

【信息安全方向就业要考哪些证书?】

这个问题问得很笼统,如果也笼统回答的话,只能说:信息安全专业学生如果以后想从事专业对口的工作,需要信息安全专业技能,很多证书都可以提高就业机会。

具体举例子来说的话——比如在国内乙方就业,CISP 是有用的。因为安全企业如果要申请信息安全服务资质,就需要若干名有 CISP 证书的员工。而很多甲方招标会要求乙方企业有相关资质。

所以顺着这个思路,可以去查查各安全项目的招标公告,看看对企业要求了什么,再查查企业如果要具备这些要求,需要有什么证书的员工。那么这些证书就是显著有利于提高就业机会的。

去看JP的招聘信息,需要什么证书就去考什么证书。

信息安全专业有必要考研吗

【信息安全专业有必要考研吗?】

如果确实对安全技术很感兴趣,自己读了很多资料,写了很多代码,做了很多研究,那未必要考研。

如果你不属于前一种人,又想干这行,那跟着导师做几年项目还是有好处的。

大部分人在学生时代都没能入门网络安全。有入门的,靠自学能力,后续发展也是不错的。

想读某个导师的博士应该如何与之沟通

有个学电子工程的同学想去读一个网络安全方向导师的博士,问我该怎么找那个导师说。这类情况,我建议先把导师团队过去几年做的东西都看看,再把其他相关研究者的工作也看看。然后对这个方向进行一些思考,争取能有点自己的想法。然后再去找那个导师聊聊自己对安全的热爱,和对相关领域的学习和理解。

信息收集能力、信息判断能力、决策、沟通。

学院派信息安全指的是什么

【学院派的信息安全指的什么?】 “在各个安全技术的群里感觉已经没办法交流了。我研究的是信息安全的框架、顶层设计、整体的解决方案,平时也花不少时间跟进技术。但是遇到过多次,我说了自己的一些观点,就招来嘲讽,说我是学院派,满是鄙夷口吻。为什么会是这样的局面?理论指导实践,实践证明理论,如果是学院派指的是研究信息安全理论的人,那这样的局面显然不利于信息安全行业的发展。”

我们常把从事信息安全技术研究的人分为学院派和工业派,分别指更偏向于理论的研究者,和更偏向于实践的研究者。

学院派和工业派之间的界限并不特别清晰。有些学院派搞的东西也很实用,工业派也常研究学院派的理论。信息安全领域很多东西都是由学院派开创、工业派完善的。理论和实践都很重要,学院派和工业派都不是贬义词。

不过需要注意,理论和空论还是要区分的。理论可以指导实践,空论只能指导扯淡。所以,上面说的两派之外,还有裘千丈派、索天响派等,这些也常被人称作“学院派”,但实际上他们不是学院派。有点像我们称呼一个姑娘为“小姐”,但她可能不是小姐,是失足妇女。

至于在沟通中被人以鄙视的语气称呼为“学院派”,可能是你的观点有问题,也可能是对方无法理解你的观点,但和学院派本身没啥关系。

处理问题的思路以及语言表达觉得很棒啊。

信息安全专业的发展会受到文凭的限制吗

【信息安全专业的发展会受到文凭的限制吗?】

我们部门有名校博士,也有本科肆业的。企业招人的目标肯定是能力而不是文凭。有些大一大二的同学已经比硕士毕业生的平均水平高出很多。至少我个人会宁可要这些大一大二的同学,而不是招一个文凭漂亮但做不了事的人。

文凭是对能力的一种背书。就像我们只看标签无需品尝,就可以认为“勃艮第葡萄酒”很大概率上会比“门头沟葡萄酒”要强。然而,虽然文凭是获得入场资格的一种主流方式,但不是唯一方式。而且信息安全行业远比葡萄酒行业有更多更简单的方式让自己的能力为人所知。全真七子是一种发展路线,杨过也是一种发展路线。具体路怎么走,还得你自己根据自己的具体情况来判断。

具体路怎么走,还得你自己根据自己的具体情况来判断。

为什么很多高中生都能比大学生强

【为什么做安全攻击会有很多高中生都能做的比大部分受过高等教育的大学生强?】

前几天一个老朋友找我,他需要找一个某方向的技术合作伙伴。这个方向需要对操作系统达到专家级的熟悉程度,做起来并不容易。我认识的能做这个的人都已经在大公司里有很好的职位了,于是我给他介绍了一个相关的开源项目。他联系了那个开源项目的作者,想拉他入伙。结果发现作者今年九月刚上大一,代码是高中时写的。

任何领域,是否能学有所成,除了天分原因外,还需要:

1、能接触到所需的学习资源 2、投入了足够的时间精力

文科的学习资源主要是书,相对容易获取,所以我们可以看到很多自学成才的作家。但多数理工科的重要学习资源都不太容易获取。比如你想学生物,就很难在家建立起实验室。

计算机领域(不止信息安全)是个例外。只需要有一台能联网的计算机,就可以学很多东西。那么这时候就主要看是否投入了足够的时间精力。

你们可以回忆一下自己的大学生涯,身边有多少人每天能投入 12 个小时在学习上?投入 8 小时的有多少?哪怕投入 4 小时的有多少?四年下来读了多少行代码?写了多少行代码?

所以被热爱技术、投入很多时间学习的高中生超过有什么奇怪的。

做黑产能挣很多钱吗

那些黑帽子黑客的收入很好吗?为什么很多人宁可犯法还要做呢?】 “如题,很好奇,因为看听一些网友说白帽子不太好做,收入低,很多人变黑了,之前搜索到很多报道黑客犯罪被捉的新闻,感觉很多人明明是犯罪还要做,所以很好奇,黑帽子收入很高吗?那么多人趋之若鹜。。。。。。而且,不就是发现漏洞和搞破坏吗?能赚到什么钱呢?为什么还要做呢?”

罗杰·阿诺德在《经济学》这本书中说过:人们常常会误解毒贩的收入,认为干了这行就能挣大钱,但即使是毒贩,收入仍然会符合边际生产率理论——简单地说,就是有多大能耐挣多大钱。所以,贩毒组织里当然有富可敌国的,但美国街头毒贩的收入大概也就平均每小时10美元,跟在麦当劳打工差不多。

简单地说,就是有多大能耐挣多大钱。

信息安全工程师有全栈一说吗

信息安全工程师有全栈一说吗?】 『随着互联网的发展,应用层的花样越来越多,甚至连编程语言都层出不穷了。这样的时代背景下,一个合格的安全工程师,应该具备哪些技术栈呢?真的有人熟知渗透测试,还能对软件/APP逆向分析,而且能够挖掘内核级别的0Day吗?题主7年左右的安全学习背景,目前很困惑以后的发展方向。就我了解到的,渗透测试需要应对的环境太多了,能做好一个“脚本小子”都已实属不易。何况逆向分析和系统内核,更是需要强大的编程功底和计算机理论基础,再加上最近几年火热的工控安全和人工智能等等,到底该怎么规划安全路呢?』

信息安全工程师没有全栈一说,因为信息安全工程师默认就需要是全栈的。每个人都在往全栈的方向上走,只是走的阶段不同,最终能到达的地方不同而已。

比如你去做安全服务工程师,而“安全服务”这四个字背后可能是任何操作系统,任何网络环境,任何异常问题。*比如你去做漏洞研究,而“漏洞研究”这四个字背后可能是各种不同协议,不同格式,不同系统,不同指令集。所以这不是学一点东西就能吃一辈子的行业。

具体到提问中所说的“真的有人熟知渗透测试,还能对软件/APP逆向分析,而且能够挖掘内核级别的0Day吗”,只是这三样的话,能做的人还挺多的。

你差的还很远呢?

网站越来越难渗透怎么办

【现在网站越来越难渗透了,渗透测试这个方向还有前途吗?】 『大家有没有发现,现在网站防御越来越高,漏洞也越来越少,安全在进步,网站也难渗透了,一些老牌工具很难扫出注入点了,如果弄不到后台其他的也做不了。现在的工具都是2010年前的了,现在教程也不多,以前的教程内容已经越来越不适合现在的网络了。现在也没有网站能给新手练手了。』

为什么用网上下载的工具很难扫描出安全问题了?因为你能下载别人也能下载。企业的安全部门里但凡只要有一个会用这些工具的人,就能自己把这些问题找出来,剩不到你手上。

十年前,很多企业的安全做的还很差,甚至没有网络安全部门,所以下载个工具扫一扫还能发现不少问题。现在一方面是企业自身安全能力提高了,另一方面网站开发者的安全能力也提高了。所以如果你只会用十年前的工具扫一扫,在今天自然会觉得很吃力。

然而,二十年前,随便找个工具扫一扫还可以发现很多远程管理弱口令、远程溢出漏洞。那么二十年前那些搞渗透测试的,在发现这些扫出来直接就能拿 root shell 的漏洞逐渐消失后是不是也很绝望?不是的。他们开始研究注入,研究 XSS,研究 CSRF,研究反序列化。所以他们才写出了你现在从网上下载的那些工具。

二进制安全也一样。二十年前的漏洞挖掘和利用都无比简单。二十年来,漏洞越来越难发现,越来越难利用。但二进制安全这个技术方向消失了吗?不但没有,而且发展越来越好。

对出身于普通家庭的人来说,工作有难度有门槛是好事。如果一个工作不难,那通常也不挣钱。如果又不难又还能挣钱,那人家为什么要让你来做的呢?找自己的堂侄表弟小舅子不好吗?

学习资料

做安全研究挖不到漏洞怎么办

这两年经常有人问类似“做安全研究挖不到漏洞怎么办”这样的问题,这里统一答复一下。

早年没有信息安全专业,搞漏洞研究的全都是因为爱好这个,自己主动来搞的。不适合干这个,搞不出来的,自然也就还干本行去了。所以早年没有人抱怨为什么研究不出东西。

现在信息安全专业开设的越来越多,有些同学看别人搞漏洞研究,自己也想搞。搞不出来,就四处找人问为什么自己搞不出来,怎么才能搞出来。

首先,必须要先泼一瓢冷水:由于性格、能力等多方面原因,无论是不是学信息安全专业的,世界上大部分人都不适合做漏洞研究,就像大部分人都不适合做职业运动员一样。

你们琢磨一下漏洞是什么?漏洞是程序员犯的错误。那些著名大公司软件的漏洞是什么?是一些面试好多轮才能入职的名校毕业的程序员犯的错误。而且这些公司里还有很多面试好多轮才能入职的名校毕业的人在做安全。他们都没查出来,才能留下来让你去发现。

我曾给微软中国的 QA 做过培训,和他们连续接触了数天。这些人体现出来的平均水平肯定在国内安全行业(不特指漏洞研究)之上,其中有几个还相当出色。

所以,挖不到漏洞是正常的,挖到才不正常。信息安全工作有很多方向,学信息安全,不一定非要都做漏洞研究。

QA:Quality Assurance,品质保证,通过建立和维持质量管理体系来确保产品质量没有问题。

对研究对象的整体架构和实现细节充分理解后,挖洞才是水到渠成的事情。如果在不理解实现细节一开始就奔着漏洞去,最后都会碰壁而产生挫败感。个人认为研究清楚软件的整体架构和实现细节远比挖几个洞有成就感,对个人的技能提升也更有帮助,漏洞应该是软件实现架构有充分理解后的副产品。

学习网络安全时遇到瓶颈怎么办

【学习网络安全时遇到瓶颈了该怎么办?】 “基础的那些sql,xss,csrf那些基本的都会了,但是想更进一步,不知道该怎么办了,有点迷茫,然后我就开始学习python和php,但是,学了一个月,回想一下,发现现在连一个小的脚本都不会写,应聘公司想以实习的目的去学习(ps:中专毕业的渣渣),没有上大学是不是很难应聘公司啊,请大神指点我一下,谢谢”

从事任何方向的技术研究,不知道该干什么的时候,就问自己四个问题: •这个方向上最新进展是什么? 都知道吗? •这个方向上最著名的专家有哪些?他们的研究都看过吗? •这个方向上最著名的技术社区有哪些?精华帖都看过一遍吗? •这个方向上最重要的文章、工具有哪些?文章都看过吗?工具都分析过吗?

高手不愿和我交流交流怎么办

【高层次的人往往不愿意与低层次的人交流,那么低层次的人怎样进步?】

姚期智说:

>>我看不出你的证明有什么错误,你的证明是对的。你要的杨振宁先生和张益唐先生的邮件地址分别是:xxxxxxxx、xxxxxxxx,你自己去跟他们联系。

张益唐说:

>>这件事还是由你自己定夺,你说你证明了黎曼猜想就证明了黎曼猜想,你说你没有证明黎曼猜想就没有证明了黎曼猜想。

梦参老和尚说:

>>我走的地点多,有的人曾经跟我说:“能像弘一法师、慈舟法师、虚云老和尚、倓虚老法师那些大善知识,在哪里有?老法师你给我介绍一个,我去跟他学习。

>>我说:“就是弘一法师在,你这个样子,他理都不理你。”

>>弘一法师,不是那么容易亲近的。他寮房的门永远是关着的,你想跟他说几句话,他没有时间跟你说。

>>慈舟法师,整天披着衣,讲完课,他就围着佛堂转:阿弥陀佛!阿弥陀佛!阿弥陀佛!

>>倓虚老法师,他的事务多,接触的政府官吏多。我们这里有几位道友,曾经跟着他到过华南,如果你们想跟他多亲近,多说几句话,他没有那个时间,并不是他不慈悲。

>>虚云老和尚,他在禅堂讲开示,就是你亲近他的时候。不过一个月他才讲两次,你可以到得了他身边吗?即使他真的在你身边,你能得到他的智能吗?

歌德说:

>>读一本好书,就是和高尚的人谈话。

孔子有句话,大白话是人一定要跟比自己优秀的人交往。当时我也很疑惑,那相对比较不太优秀的人怎么办,孔子的回答是,只要是有向往优秀的心(积极的心态,想变得优秀)就好了

高层次的人大多都死了,没法互动交流。不过,他们的书都在,就看低层次的人愿不愿意看

有了量子计算信息安全还有用吗

【学了信息安全专业,但听了老师的话觉得信安没有前景所以没有动力了怎么办?】 “题主今年大一,学习信息安全专业。一开始拼劲满满,下定决心当一名学霸。但在第一节计算机导论课上,老师列举计算机类型时,提到了量子计算机和光子计算机,而且说如果这些计算机普及,就不需要网络安全员了。”

你们老师可能并不清楚量子计算机和光子计算机是什么、能干什么,但认为自己明白并向学生布道,而这可能是由于把看科技新闻作为学习新知识的主要方法而导致的。

有一些人讲话就像放屁一样,丑得很。不要去听!

有哪些 Linux 逆向相关的学习资料推荐

【有哪些 Linux 逆向相关的学习资料推荐?】

SEEDLabs是雪城大学杜文亮教授创立的,十几年来得到了全球上百所大学的认可。建议每个认为找不到合适学习资料的人都看看,之后至少可以对自己到底是不是真想学有更接近于真实的认识。

Blog

Book

Think