这是一个创建于 1339 天前的主题,其中的信息可能已经有所发展或是发生改变。
有时候就感觉要学的东西又很多,但是很多东西如果学了又没有用就会忘记,导致好像花了很多时间学习但是其实没有什么效果的情况出现。
第 1 条附言 · 2021-03-17 22:53:58 +08:00
说说背景,小弟应届工作半年,在某所谓的移动互联网公司。觉得工作没有什么成长,一天主要找一些安全方面的漏洞 [如安全配置错误的,供应商软件的一些 bug 漏洞,非二进制非 web 安全] ,写一些后台,根本没有沉淀下来自己的技术。
所以小弟想跑路了。
小弟先面试了字节
字节的一来做算法题我就知道面的组不对了,后面一问是做 waf 的,我的能力是在内网和安全建设方面的。
然后问 xss,xss 是小弟 19 年做安服的时候学习的东西了,一些简单的基础还会,深入一点就啥也不会了。 问防御,我说实体编码和 csp,又问 csp 的实现原理,我说是配置啥的,他说实现原理,我就不会了。
又问到 ssrf 的 getshell,明明这个我大概四五个月还做过,可当时一紧张只能说出任意文件写入 ssh key,定时任务之类的还有主从复制。(其实也是差不多了,只是主从复制没有说 redis 4.x )
然后就挂了,找朋友内推到内网安全相关的组,别人一看一面评价太差了,,,,就没面我
就很难过了。。。。。。。
------------------------------------------------------------------------------------------
q1:大晚上想起这件事,我就想问 如何学习信息安全?,因为 信息安全所学的知识真的是太多了,然后很多时候是当时有用,学了做了笔记,但是一段时间没有碰就基本不会了,(用不到也不会想着去翻笔记的)。。
想起以前研究过的 libc 2.26 jmp esp 逆向 house of orange 之类的。。。。。就真的啥也记不起来 。。。
-----------------------------------------------------------------------------------------------
q2:最近又想研究一些新的东西,比如 windows 当中的几个 potato 的原理。但是一旦产生这样想要研究的念头之后,脑袋里面就有一个念头在问自己:研究这个现在有用吗?用的上吗?目的是什么?会不会造成学了之后就忘了的情况?所以就很纠结。。。。。。。
学还是不学,抱着目的学还是不抱着目的学?学某个技术到什么深度?
---------------------------------------------------------------------------------------------------------
q3:看到评论区里面有大哥说强调深度,注意广度,那么什么是应该选择深度的地方这也是一个问题?
我见过内网渗透牛逼的大哥连 python 脚本缺一个 requests 都不知道怎么安装。
见过 sdl 一套,web 安全监测熟悉的不行高工连 linux 脚本都不会敲。
如何选择深入的地方,是自己的爱好,未来的前途都是问题?是选择危害非常大很难学习的二进制漏洞研究还是 学习企业最需要的安全建设人才 还是学习 以后肯定有前途的人工智能安全和 iot 安全 这些都是问题所在。
最后 初入社会,十分迷茫,感谢论坛里前辈们的指点!
所以小弟想跑路了。
小弟先面试了字节
字节的一来做算法题我就知道面的组不对了,后面一问是做 waf 的,我的能力是在内网和安全建设方面的。
然后问 xss,xss 是小弟 19 年做安服的时候学习的东西了,一些简单的基础还会,深入一点就啥也不会了。 问防御,我说实体编码和 csp,又问 csp 的实现原理,我说是配置啥的,他说实现原理,我就不会了。
又问到 ssrf 的 getshell,明明这个我大概四五个月还做过,可当时一紧张只能说出任意文件写入 ssh key,定时任务之类的还有主从复制。(其实也是差不多了,只是主从复制没有说 redis 4.x )
然后就挂了,找朋友内推到内网安全相关的组,别人一看一面评价太差了,,,,就没面我
就很难过了。。。。。。。
------------------------------------------------------------------------------------------
q1:大晚上想起这件事,我就想问 如何学习信息安全?,因为 信息安全所学的知识真的是太多了,然后很多时候是当时有用,学了做了笔记,但是一段时间没有碰就基本不会了,(用不到也不会想着去翻笔记的)。。
想起以前研究过的 libc 2.26 jmp esp 逆向 house of orange 之类的。。。。。就真的啥也记不起来 。。。
-----------------------------------------------------------------------------------------------
q2:最近又想研究一些新的东西,比如 windows 当中的几个 potato 的原理。但是一旦产生这样想要研究的念头之后,脑袋里面就有一个念头在问自己:研究这个现在有用吗?用的上吗?目的是什么?会不会造成学了之后就忘了的情况?所以就很纠结。。。。。。。
学还是不学,抱着目的学还是不抱着目的学?学某个技术到什么深度?
---------------------------------------------------------------------------------------------------------
q3:看到评论区里面有大哥说强调深度,注意广度,那么什么是应该选择深度的地方这也是一个问题?
我见过内网渗透牛逼的大哥连 python 脚本缺一个 requests 都不知道怎么安装。
见过 sdl 一套,web 安全监测熟悉的不行高工连 linux 脚本都不会敲。
如何选择深入的地方,是自己的爱好,未来的前途都是问题?是选择危害非常大很难学习的二进制漏洞研究还是 学习企业最需要的安全建设人才 还是学习 以后肯定有前途的人工智能安全和 iot 安全 这些都是问题所在。
最后 初入社会,十分迷茫,感谢论坛里前辈们的指点!
第 2 条附言 · 2021-03-18 22:55:42 +08:00
回想当初大学里面进了 batm 的同学,大多数都是精通于一个方向点,而不是广泛了解。
而当时的自己却没意识到这一点,在很多的方面都有所涉及,当时是想做一个什么都会的人,可惜行不通,毕业之后的这次面试和这篇帖子让我知道了以后怎么去行动。
信息安全所涉及的方方面面过于多 二进制 web 安全建设 开发 sdl 网络 运维 。
劝入行的新人早一点了解自己以后需要精通那个方面,然后只学这个东西,记住是只学,在没有学到精通的时候 学到其他的下意识排斥。
我见过 python 签到脚本都不会写的大学生照样前端进阿里
见过一点不会二进制的人 照样 web 安全精通进乙方研究院
我这样啥都会一点,啥都不精通的人真的在就业市场很吃亏,或许小公司正需要,但是小公司一般来说 是没有什么钱途的,各位共勉!
而当时的自己却没意识到这一点,在很多的方面都有所涉及,当时是想做一个什么都会的人,可惜行不通,毕业之后的这次面试和这篇帖子让我知道了以后怎么去行动。
信息安全所涉及的方方面面过于多 二进制 web 安全建设 开发 sdl 网络 运维 。
劝入行的新人早一点了解自己以后需要精通那个方面,然后只学这个东西,记住是只学,在没有学到精通的时候 学到其他的下意识排斥。
我见过 python 签到脚本都不会写的大学生照样前端进阿里
见过一点不会二进制的人 照样 web 安全精通进乙方研究院
我这样啥都会一点,啥都不精通的人真的在就业市场很吃亏,或许小公司正需要,但是小公司一般来说 是没有什么钱途的,各位共勉!
 |
1
ElmerZhang 2021-03-17 00:46:52 +08:00  1
信息安全专业的学生?
大学学东西都这样,忘得快。最后脑子里有个印象就可以了,将来用到的时候知道有这么个东西,知道该学什么。 |
 |
2
ZeawinL 2021-03-17 01:35:20 +08:00 via Android
所以要学会记笔记
|
 |
3
DoctorCat 2021-03-17 02:10:06 +08:00
记忆力不好这事儿跟信息安全,有啥关系。。。
|
 |
4
ETiV 2021-03-17 06:42:52 +08:00 via iPhone 1
试试六个核桃?
要还是不管用,就加大剂量:七个核桃、八个核桃、九个核桃 |
 |
5
webshe11 2021-03-17 06:52:23 +08:00 1
记电子笔记,需要用的时候能 30 秒钟理解并复制粘贴
|
 |
6
huruwo 2021-03-17 09:04:31 +08:00 1
笔记 用到的时候翻翻就行 这种东西就是经验和思路的问题
|
 |
7
xiaomimei 2021-03-17 09:05:06 +08:00 via Android
整理自己的 wiki
|
 |
8
feng12345 2021-03-17 09:06:58 +08:00 1
就是留个映象,知道这是如何发生的。信息安全还是要靠实操,代码能力非常重要。当然,这行也看天赋,越脑洞大开的人能力越强
|
 |
9
hxndg 2021-03-17 09:15:27 +08:00 1
|
 |
10
lupus721 2021-03-17 09:50:46 +08:00 2
万金油的答案之一,一专多能。你需要有一个专精方向,这个方向需要非常精,这是你最有利的武器,第二就是多能,一定要多看,你不论在服务自己的公司,还是给别人做服务,都可能看到无数的东西,遇到无数的问题,自己知道学习的越多心理的底气就越足,时刻保持谦虚,时刻保持学习,除了极少数天才,绝大多数人都是需要不断的重复来加深印象的。
尤其是在学校学习的东西,大多数时候你可能根本用不上,但是尽量不要让自己存在盲区,在遇到的时候多少有个方向就比没有强。 补充:如果确实想做安全,面面试,找找大厂的安全聊聊天,看看他们需要什么样子的人。 |
 |
11
GeruzoniAnsasu 2021-03-17 10:02:00 +08:00 1
所以要学能用得上的东西=。=
哪怕你用它的目的是打 CTF 、是写轮子、是给母校 IT 带去温暖( 用得多了就擅长了,擅长之后自然能用它做些有意义的事 |
 |
12
hanssx 2021-03-17 10:02:33 +08:00 1
一定要专精,精而悟道。就拿代码审计来说,你说语言那么多,很少有人能把所有语言的代码审计做得很好吧,可能都是精而悟道。
注重方法,比如代码审计的时候可能先了解系统有哪些功能,阅读官方文档。 记笔记,好记性不如烂笔头。 深扎,别三天打鱼两天晒网。 兴趣是最好的老师。 |
 |
13
sggggy 2021-03-17 10:57:29 +08:00 1
前段时间学习社工,书里写了如何在不用技术手段的前提下,尝试获取一些关键信息,其中一个行动方式是去翻垃圾桶。趁着中午晚上去翻厂里的垃圾桶,把有信息的东西全先拿走装袋子里,回到家里慢慢分析。
好家伙真是出道既巅峰,麦当劳外卖单上的敏感信息,比如手机号都没有****加密掉中间项,基本拿到姓名+手机号,还有外卖号;兄弟厂的快递也是把寄件人收件人的信息全部明文;外卖厂的还可以,关键信息都加密了基本没法社工,但没事找事在单子最后附加了二维码,稍微用点心思,贴个假二维码上去说不定就有人扫。 最刺激的是拿到有同学丢掉的报考信息,里面所有敏感信息全部都非常清晰的记录了,这类信息按道理是需要在公司用碎纸机碎掉的,附带的还有一本工作日志本,里面记录了工作计划,个人每日计划等信息。 练习结束后,把所有收集到的信息全部碎纸机销毁,同时想办法做一些厂子里的选传科普,比如路上捡到的 U 盘不要随便就插电脑上,首先交给 IT 部门的同事;带有关键信息的资料,厂子几处有碎纸机,可以销毁掉,不要直接丢垃圾箱。 关键是需要刻意练习,很多事情学了如果没用就会遗忘,之前在学习急救 CPR 的时候,老师也说过一般这个技能 6 个月不练,就全忘光了。 |
 |
14
lengyihan 2021-03-17 11:06:01 +08:00 via Android
一楼正解。学个印象就好了,实践中去融会贯通。
|
 |
15
aino 2021-03-17 11:13:36 +08:00
得实战
|
 |
16
echome OP @ElmerZhang 已经不是学生了现在已经毕业半年了,学习安全已经陆陆续续四年了。
|
|
17
ElmerZhang 2021-03-17 23:12:53 +08:00
我不是专业做安全的,对安全只懂一点,但是看你的面试过程,也能看出来你是什么都会一点,但什么都不精。
想提升,就找一个细化方向往深了去学。应该学到什么深度?深度无极限,至少几年内你是看不到极限的。 在越学越深的过程中,你自然会接触到其他一些需要学习的东西,广度会自然扩展开来。 而且技术都是有共通点的,只要你把其中某一种真的搞精通了,其他的再学起来就快了,“触类旁通”嘛。 总之不管你学什么,挑一样,学精了,高薪工作肯定没问题。 举个例子,假如你是个开工程车的,什么吊车、挖掘机、装载车啥的都会开,但仅限于让它们动起来,另一个人只会开挖掘机,连车都不会开,但人家能用挖掘机拿鸡蛋。你觉得你们谁更好找工作? 上学时看短板,工作后看长板。 |
|
19
lupus721 2021-03-18 09:30:28 +08:00
专精尽量选自己喜好的方向,不然会很难熬也不容易做好。当然难度越高的方向,相当于护城河就越高。
这点我就选错了,,以前带过一个小弟,本来做游戏开发的,但是喜欢安全,问我有啥建议,他说他对程序的内部构造感兴趣,那就二进制吧。 开始 我以为我随便说说,但人家真是真刀真枪的学起来,做起来了,三年后,我还是碌碌无为,人家已经好几个 CVE 了。。 另一小故事,某大牛,学历不行,但天赋惊人,同样几十个目标他能第一时间选出最可能出问题的,偶尔一次选对做出东西也就罢了,他正确率超四分之三,问为啥,无他,就是感觉,这种大概属于老天爷赏饭的。。。。 |
|
21
echome OP |
 |
22
onice 2021-03-31 10:03:03 +08:00 1
出现这个问题,是因为你学的东西都是孤立的知识点。就跟背英语单词一样,孤立的单词没有上下文,很容易忘记。
要解决这个问题,建议你直接干 ctf,或者是找靶场直接搞。先自己思考,然后再看答案。如果答案中的知识点都会,应该思考自己为什么没有运用起来。如果有知识点不会,就立马学习。 安全技术应该在实战中学习,并且每一个环节都是一环扣一环的。当孤立的知识点有了上下文,在完整的攻击链中学习技术,是很难忘记的。 关于深度和广度,应该追求深度。这个社会是细化分工的社会,你只有在某个领域比其他人强,你才会有竞争力。如果你什么都知识知道一点,意味着什么都做不好,拿什么和人家比呢?当然,这里是指的领域,并不是知识点,不能说精通 xss 就行了。选择自己感兴趣且看好的领域,长期发展,比如 web 安全,并不是说精通 xss,sql 注入就 ok 了,你应该精通所有的 web 漏洞,除此之外你还的学一门编程语言吧,挖洞得自动化吧,最重要的是还得有挖掘 0day 的能力,比如你审计一套代码,不会编程看不懂代码又怎么能行呢。 我遇到的问题几乎和你一样,我以前是甲方方向的,现在想做渗透方向,就自己买了网课学习。我也出现了你一样的问题,看了后面忘了前面,而且实战中想不起来。后来课程中提供十四个靶场,我就直接搞靶场。一套搞下来,前面涉及的知识点自然就掌握了,因为每一个步骤都是攻击链当中的具体一个环节,知道每一步的前因后果,下一次遇到同样的环境,也知道该怎么搞了。并且心中有了完整的攻击链,自己开始思考如何防御,作为防守方如何反制之类的问题了。 总之还是得实践。 |
 |
23
wangkai0351 2021-04-04 18:39:57 +08:00
我的建议是抓住一个方向深入学。在二进制 Windows 领域精通漏洞发现和精通 exploit 的基本上也是两路人,特别是三五年经验的工程师。十年前 Windows 是主战场,后面是 WEB 登场,再然后移动端登场,现在 IOT 和云端又是新战场。建议别想太多,抓住一个点使劲挖下去。
|
Select Language