網路安全。什麼才是安全,怎樣才算是在安全領域頗有成就。?

迷茫了一陣子請教各位大牛。如何當一名合格的滲透人員。如何能系統的學習滲透跟安全相關知識。不是迷茫的如今學完這個跳到那個。本人有java編程的一些經驗開發過一些java web 的程序,然後沒做多久。做了滲透測試。本著以為自己有些滲透經驗以為自己做的很好。當今天爆出的struts2 poc爆出來後,我沒看懂。瞬間迷茫。安全不好。開發也沒做過大項目。求各位大牛。如何系統的學習滲透測試跟互聯網安全的研究。


通過首頁看到這個問題,其實我也很迷茫,而且迷茫之際還帶有浮躁感,,,因為我還是學生,所以空閑的時間一大把,就閑的沒事玩玩 python ,然後因為某些事,我誤入web滲透圈,在圈子裡待了有快半年,常見的漏洞,我也都本地復現過,該有的滲透測試手法,我也懂,只不過在入了門之後就很少實戰了,都是自己本地搭建著玩了,一天天過去了,看到自己不會的還有一大堆,,,尤其是昨天的 045,poc是用python寫得,我這tm就是玩python的,都沒看懂代碼,,,感到還是自己懂得少,啥都不會,,,浮躁,迷茫,,,原本想著畢業了,去找個滲透測試的工作,但是看著好多招聘的技術要求,還有好多技能表的要求。。。浮躁,迷茫,,,每天都是努力的學習,復現,測試。。。一直想感覺弄完這些去學php去,然後再拾起python寫自己的工具,,,現在深入學習內網滲透中,,,自學著好難。。。。。(看到樓主的問題,有感而發。。。。)


感謝wisdom邀請,先回答你關心的問題,剛報的strus2的漏洞,你只看poc肯定會迷糊的,要想弄懂原理還得自己去搭一個環境來調試,一步一步耐心的分析漏洞是如何觸發的,而不是只靜靜地看著poc發獃,調試一下你就會明白。做安全也是一樣,必須得自己去動手,只看不動是不行的。

關於你問的「什麼才是安全,怎樣才算是在安全領域頗有成就。?」安全是一個非常廣的概念,看你的描述你也是做過滲透的人,既然有滲透的基礎可以在滲透方面專註的專研,之後可以深入學習漏洞挖掘,等你成了漏洞挖掘高手,可以算是安全領域的一種成就吧,挖出好的漏洞成名也快。


和題主同一個煩惱,昨天去面試一家安全公司,和面試官進行了深♂入♂交流。面試官講看的出來我對安全有一定的了解,但是不夠踏實,不夠細心。想要做安全就要耐得住性子,仔仔細細的研究問題。他說從15年到現在安全被炒起來之後大量的初學者涌到這個行業,整個圈子比較浮躁,這個時候就是看誰有耐心研究問題了。

至於在安全領域頗有成就,我認為如果是做漏洞挖掘的話要是能挖到google之類公司的漏洞也就算頗有成就了吧。

這是今年三月的安卓致謝名單,可以看到上面很多中國安全研究員留下了自己的名字。

  • Alexander Potapenko of Google Dynamic Tools team: CVE-2017-0537
  • Baozeng Ding, Chengming Yang, Peng Xiao, and Yang Song of Alibaba Mobile Security Group: CVE-2017-0506
  • Baozeng Ding, Ning You, Chengming Yang, Peng Xiao, and Yang Song of Alibaba Mobile Security Group: CVE-2017-0463
  • Billy Lau of Android Security: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
  • derrek (@derrekr6): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
  • derrek (@derrekr6) and Scott Bauer (@ScottyBauer1): CVE-2017-0521
  • Di Shen (@returnsme) of KeenLab (@keen_lab), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
  • En He (@heeeeen4x) and Bo Liu of MS509Team: CVE-2017-0490
  • Gengjia Chen (@chengjia4574) and pjf of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
  • Hao Chen and Guang Gong of Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
  • Hiroki Yamamoto and Fang Chen of Sony Mobile Communications Inc.: CVE-2017-0481
  • IBM Security X-Force Researchers Sagi Kedmi and Roee Hay: CVE-2017-0510
  • Jianjun Dai (@Jioun_dai) of Qihoo 360 Skyeye Labs: CVE-2017-0478
  • Jianqiang Zhao (@jianqiangzhao) and pjf of IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534
  • Lubo Zhang, Tong Lin, Yuan-Tsung Lo, and Xuxian Jiang of C0RE Team: CVE-2016-8479
  • Makoto Onuki of Google: CVE-2017-0491
  • Mingjian Zhou (@Mingjian_Zhou), Hanxiang Wen, and Xuxian Jiang of C0RE Team: CVE-2017-0479, CVE-2017-0480
  • Nathan Crandall (@natecray): CVE-2017-0535
  • Nathan Crandall (@natecray) of Tesla Motors Product Security Team: CVE-2017-0306
  • Pengfei Ding (丁鵬飛), Chenfu Bao (包沉浮), Lenx Wei (韋韜) of Baidu X-Lab (百度安全實驗室): CVE-2016-8417
  • Qidan He (何淇丹) (@flanker_hqd) of KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
  • Qing Zhang of Qihoo 360 and Guangdong Bai of Singapore Institute of Technology (SIT): CVE-2017-0496
  • Quhe and wanchouchou of Ant-financial Light-Year Security Lab (螞蟻金服巴斯光年安全實驗室): CVE-2017-0522
  • Sahara of Secure Communications in DarkMatter: CVE-2017-0528
  • salls (@chris_salls) of Shellphish Grill Team, UC Santa Barbara: CVE-2017-0505
  • Scott Bauer (@ScottyBauer1): CVE-2017-0504, CVE-2017-0516
  • Sean Beaupre (beaups): CVE-2017-0455
  • Seven Shen (@lingtongshen) of Trend Micro: CVE-2017-0452
  • Shinichi Matsumoto of Fujitsu: CVE-2017-0498
  • Stéphane Marques of ByteRev: CVE-2017-0489
  • Svetoslav Ganov of Google: CVE-2017-0492
  • Tong Lin, Yuan-Tsung Lo, and Xuxian Jiang of C0RE Team: CVE-2017-0333
  • V.E.O (@VYSEa) of Mobile Threat Response Team, Trend Micro: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495
  • Wish Wu (吳濰浠 此彼) (@wish_wu) of Ant-financial Light-Year Security Lab (螞蟻金服巴斯光年安全實驗室): CVE-2017-0477
  • Yu Pan of Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
  • Yuan-Tsung Lo, and Xuxian Jiang of C0RE Team: CVE-2017-0526, CVE-2017-0527
  • Yuqi Lu (@nikos233), Wenke Dou, Dacheng Shao, Mingjian Zhou (@Mingjian_Zhou), and Xuxian Jiang of C0RE Team: CVE-2017-0483

so,安全的路還很長,我想一直走下去。


我也做了沒多久,但是struts漏洞其實都是近似的,ognl格式的內容。你說你做過java後台應該還是有些了解的啊。再說如何學習安全,我只能引用黑哥的一句話,整,就牛。安全是學不完的。越是接觸就越發現自己什麼都不懂。


本人也一直苦惱,現在還沒轉型成功,還在啃書本學習《白帽子web安全》《metasploit》


兄弟啊,我是搞色譜,修儀器的,我連編程都不會的,網路安全這塊我還停留在電腦卡了就全盤格式化重裝系統,不小心下載什麼捆綁軟體就全盤格式化重裝系統,電腦藍屏就算盤格式化重裝系統的階段


你好 我剛入坑的新人,會的東西不多,跨站,注入,文件包含什麼的,現在這個行業對編程的要求是啥,我想學編程的,最近在看JAVA,我同學說精通語言對這行沒什麼用處,除非你是搞開發的,現在不懂怎麼學習了,python在這一行是用來幹嘛的?寫小工具么?


沒人聊聊資訊理論?


推薦閱讀:

QQ最近總是提示QQ安全中心為您攔截異常2次,您的帳號疑似被盜,正處於保護模式中,怎麼處理?
2015 年有哪些重大的網路安全事件?
如何評價黑暗幽靈木馬?
是否開源軟體比閉源軟體更安全?
網路上有哪些真實發生卻又讓你覺得匪夷所思的事?

TAG:網路安全 | 黑客Hacker | 網路滲透 | 滲透測試 | 滲透師 |