網路安全。什麼才是安全,怎樣才算是在安全領域頗有成就。?
迷茫了一陣子請教各位大牛。如何當一名合格的滲透人員。如何能系統的學習滲透跟安全相關知識。不是迷茫的如今學完這個跳到那個。本人有java編程的一些經驗開發過一些java web 的程序,然後沒做多久。做了滲透測試。本著以為自己有些滲透經驗以為自己做的很好。當今天爆出的struts2 poc爆出來後,我沒看懂。瞬間迷茫。安全不好。開發也沒做過大項目。求各位大牛。如何系統的學習滲透測試跟互聯網安全的研究。
通過首頁看到這個問題,其實我也很迷茫,而且迷茫之際還帶有浮躁感,,,因為我還是學生,所以空閑的時間一大把,就閑的沒事玩玩 python ,然後因為某些事,我誤入web滲透圈,在圈子裡待了有快半年,常見的漏洞,我也都本地復現過,該有的滲透測試手法,我也懂,只不過在入了門之後就很少實戰了,都是自己本地搭建著玩了,一天天過去了,看到自己不會的還有一大堆,,,尤其是昨天的 045,poc是用python寫得,我這tm就是玩python的,都沒看懂代碼,,,感到還是自己懂得少,啥都不會,,,浮躁,迷茫,,,原本想著畢業了,去找個滲透測試的工作,但是看著好多招聘的技術要求,還有好多技能表的要求。。。浮躁,迷茫,,,每天都是努力的學習,復現,測試。。。一直想感覺弄完這些去學php去,然後再拾起python寫自己的工具,,,現在深入學習內網滲透中,,,自學著好難。。。。。(看到樓主的問題,有感而發。。。。)
感謝wisdom邀請,先回答你關心的問題,剛報的strus2的漏洞,你只看poc肯定會迷糊的,要想弄懂原理還得自己去搭一個環境來調試,一步一步耐心的分析漏洞是如何觸發的,而不是只靜靜地看著poc發獃,調試一下你就會明白。做安全也是一樣,必須得自己去動手,只看不動是不行的。
關於你問的「什麼才是安全,怎樣才算是在安全領域頗有成就。?」安全是一個非常廣的概念,看你的描述你也是做過滲透的人,既然有滲透的基礎可以在滲透方面專註的專研,之後可以深入學習漏洞挖掘,等你成了漏洞挖掘高手,可以算是安全領域的一種成就吧,挖出好的漏洞成名也快。
和題主同一個煩惱,昨天去面試一家安全公司,和面試官進行了深♂入♂交流。面試官講看的出來我對安全有一定的了解,但是不夠踏實,不夠細心。想要做安全就要耐得住性子,仔仔細細的研究問題。他說從15年到現在安全被炒起來之後大量的初學者涌到這個行業,整個圈子比較浮躁,這個時候就是看誰有耐心研究問題了。
至於在安全領域頗有成就,我認為如果是做漏洞挖掘的話要是能挖到google之類公司的漏洞也就算頗有成就了吧。
這是今年三月的安卓致謝名單,可以看到上面很多中國安全研究員留下了自己的名字。
- Alexander Potapenko of Google Dynamic Tools team: CVE-2017-0537
- Baozeng Ding, Chengming Yang, Peng Xiao, and Yang Song of Alibaba Mobile Security Group: CVE-2017-0506
- Baozeng Ding, Ning You, Chengming Yang, Peng Xiao, and Yang Song of Alibaba Mobile Security Group: CVE-2017-0463
- Billy Lau of Android Security: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
- derrek (@derrekr6): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- derrek (@derrekr6) and Scott Bauer (@ScottyBauer1): CVE-2017-0521
- Di Shen (@returnsme) of KeenLab (@keen_lab), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
- En He (@heeeeen4x) and Bo Liu of MS509Team: CVE-2017-0490
- Gengjia Chen (@chengjia4574) and pjf of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
- Hao Chen and Guang Gong of Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- Hiroki Yamamoto and Fang Chen of Sony Mobile Communications Inc.: CVE-2017-0481
- IBM Security X-Force Researchers Sagi Kedmi and Roee Hay: CVE-2017-0510
- Jianjun Dai (@Jioun_dai) of Qihoo 360 Skyeye Labs: CVE-2017-0478
- Jianqiang Zhao (@jianqiangzhao) and pjf of IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534
- Lubo Zhang, Tong Lin, Yuan-Tsung Lo, and Xuxian Jiang of C0RE Team: CVE-2016-8479
- Makoto Onuki of Google: CVE-2017-0491
- Mingjian Zhou (@Mingjian_Zhou), Hanxiang Wen, and Xuxian Jiang of C0RE Team: CVE-2017-0479, CVE-2017-0480
- Nathan Crandall (@natecray): CVE-2017-0535
- Nathan Crandall (@natecray) of Tesla Motors Product Security Team: CVE-2017-0306
- Pengfei Ding (丁鵬飛), Chenfu Bao (包沉浮), Lenx Wei (韋韜) of Baidu X-Lab (百度安全實驗室): CVE-2016-8417
- Qidan He (何淇丹) (@flanker_hqd) of KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
- Qing Zhang of Qihoo 360 and Guangdong Bai of Singapore Institute of Technology (SIT): CVE-2017-0496
- Quhe and wanchouchou of Ant-financial Light-Year Security Lab (螞蟻金服巴斯光年安全實驗室): CVE-2017-0522
- Sahara of Secure Communications in DarkMatter: CVE-2017-0528
- salls (@chris_salls) of Shellphish Grill Team, UC Santa Barbara: CVE-2017-0505
- Scott Bauer (@ScottyBauer1): CVE-2017-0504, CVE-2017-0516
- Sean Beaupre (beaups): CVE-2017-0455
- Seven Shen (@lingtongshen) of Trend Micro: CVE-2017-0452
- Shinichi Matsumoto of Fujitsu: CVE-2017-0498
- Stéphane Marques of ByteRev: CVE-2017-0489
- Svetoslav Ganov of Google: CVE-2017-0492
- Tong Lin, Yuan-Tsung Lo, and Xuxian Jiang of C0RE Team: CVE-2017-0333
- V.E.O (@VYSEa) of Mobile Threat Response Team, Trend Micro: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495
- Wish Wu (吳濰浠 此彼) (@wish_wu) of Ant-financial Light-Year Security Lab (螞蟻金服巴斯光年安全實驗室): CVE-2017-0477
- Yu Pan of Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Yuan-Tsung Lo, and Xuxian Jiang of C0RE Team: CVE-2017-0526, CVE-2017-0527
- Yuqi Lu (@nikos233), Wenke Dou, Dacheng Shao, Mingjian Zhou (@Mingjian_Zhou), and Xuxian Jiang of C0RE Team: CVE-2017-0483
so,安全的路還很長,我想一直走下去。
我也做了沒多久,但是struts漏洞其實都是近似的,ognl格式的內容。你說你做過java後台應該還是有些了解的啊。再說如何學習安全,我只能引用黑哥的一句話,整,就牛。安全是學不完的。越是接觸就越發現自己什麼都不懂。
本人也一直苦惱,現在還沒轉型成功,還在啃書本學習《白帽子web安全》《metasploit》
兄弟啊,我是搞色譜,修儀器的,我連編程都不會的,網路安全這塊我還停留在電腦卡了就全盤格式化重裝系統,不小心下載什麼捆綁軟體就全盤格式化重裝系統,電腦藍屏就算盤格式化重裝系統的階段
你好 我剛入坑的新人,會的東西不多,跨站,注入,文件包含什麼的,現在這個行業對編程的要求是啥,我想學編程的,最近在看JAVA,我同學說精通語言對這行沒什麼用處,除非你是搞開發的,現在不懂怎麼學習了,python在這一行是用來幹嘛的?寫小工具么?
沒人聊聊資訊理論?
推薦閱讀:
※QQ最近總是提示QQ安全中心為您攔截異常2次,您的帳號疑似被盜,正處於保護模式中,怎麼處理?
※2015 年有哪些重大的網路安全事件?
※如何評價黑暗幽靈木馬?
※是否開源軟體比閉源軟體更安全?
※網路上有哪些真實發生卻又讓你覺得匪夷所思的事?