用户
搜索
回帖奖励 410 魔法币 回复本帖可获得 10 魔法币奖励! 每人限 1 次
发表于 2018-5-10 17:46:28

回帖奖励 +10 魔法币

本帖最后由 Aedoo 于 2018-5-11 12:16 编辑

应蛋总邀请前来发表自己的想法。

从小白变得不小白,需要一个过程,这个过程也是每个人都必须经历的,谁能生下来就是大佬呢,对不。

如何学习并变得更强大?依稀记得很久之前听到过的一句话:1根网线加上60000个小时
这句话固然有一些夸大的成分,但是当你在茫茫的知识海洋中茫然无措的时候,也是挺有用的,当然这句话并不是意味着你只要有台能上网的电脑,再花费6万个小时你就能成为大佬。它的真正含义是:自觉学习、寻求答案、坚持不懈。这三个词语大概能概括这句话了,但是每天能坚持学习的,又有多少能做到呢,懒惰之心人皆有之,能不能压住它,就看你自己了。(虽然本人在写这评论的时候还想着晚上下班回家打几局撸啊撸呢。。。)

本次话题涉及关键字:持续学习、日常学习。那我也来分享一下咯~

1.前人的经验(下面的“”都将用“”字代替)
某云可能是第一个也可能是最后一个公开已修复漏洞的地方了吧,漏洞公开虽然给不法之人带来了捷径,但是对于我们这些小白来说,它是当之无愧的学习技术姿势、奇技淫巧的宝地。
所以说,某云公开漏洞库、以及某云社区文章知识库,都是前人给我留下来的精华和财富,面包有价,知识无价。闲着无聊的时候,你把某云公开漏洞库如果能看上一遍,并且明白其中的思路和技巧,想必能追一追大佬的步伐了。
1.jpg
2.jpg


2.紧跟当前网络安全的步伐

      近期各种漏洞层出不穷啊,像是Struts2-052 053、Weblogic WLS代码执行、Ubuntu提权、MySQL代码执行等等等,之前会持续产生安全事件,之后肯定也会层出不穷,而改变的将会是利用技巧以及利用难度。
      跟踪当下的安全事件,不仅仅是要学会怎么利用这个漏洞,也不是拿着别人的poc,到什么百度、谷歌、什么眼、什么蛋的各种搜索引擎去搜集IP域名来打人家,而更加重要的是:研究其原理、分析其源码、编写属于自己的poc或者exp。老是拿着别人的东西打来打去也不大好意思的是不。
      所以在此强调一件事情:一定要掌握一门熟悉的语言。我们就算不做开发不整天敲代码,但是编写漏洞的poc、exp也是需要我们去做的,语言是将漏洞转化为行之有效的利用手段的必不可少的工具啊,无论是Java、Python、PHP亦或是C、C++、C#,一定要掌握一门。
3.png


在此推荐一些实时漏洞网站:

Exploit Database:https://www.exploit-db.com/
4.jpg
SeeBug:https://www.seebug.org/
5.jpg
CNVD:http://www.cnvd.org.cn/
6.jpg

当然还有咱们i春秋的漏洞跟踪小组推送的安全事件文章。

3.视频学习的网站以及论坛

每天逛一逛论坛,不要闭门造车,要多看一看外面的世界,多看一看别人都在干什么,他会的你是否会、他能做到的你是否能做到,现实中我们不能用攀比心理,但是知识中我们要有这种攀比心理,也应该有。
有些论坛需要权限,有些论坛又弄得跟娱乐圈一样,所首推的肯定是i春秋论坛,这不是溜须拍马,我打心里推荐i春秋,因为我在此处成长过,更获得过知识。
不要眼高手低,基础的知识能让你变得更牢固,高级的知识能让你更进一步。

推荐一些视频学习网站:
慕课网:https://www.imooc.com/
白帽学院:http://www.baimaoxueyuan.com/
合天网安实验室:http://www.hetianlab.com/
极客学院:https://www.jikexueyuan.com/

最后少不了我们的i春秋学院,企安殿虽然难得,但是也不是没有办法获得,你可以像同学借、向学校借、向公司借,也可以自己买(虽然有点贵)。还有多在i春秋七国群里混一混,透露个消息:最近i春秋各种小组都在招募人手,如果有幸进去了,可能会获得时限无限企安殿啊哈哈~
7.jpg

推荐i春秋视频关键字:安全工具开发、代码审计、漏洞。(曾经学到很多很多很多......)

4.github
    虽然我们既不是程序员也不是攻城狮,但是github确实是一个学习代码的好地方,当你写漏洞利用或者验证脚本时,没有思路了,可以去上面搜一搜,看看别人怎么写,看会别的东西对自己也是很有帮助的。
      例如,最近爆出的WebLogic WLS核心组件反序列化漏洞,你想写个漏洞利用脚本,但是又不怎么会,你就可以先查找它的CVE编号:CVE-2018-2628,然后直接去搜索就能找到特别多,搜索选项也可以选择代码语言,特别方便。
8.jpg


OK,就先这些吧,以后想到别的话,会添加上。



评分

参与人数 1魔法币 +100 收起 理由
坏蛋 + 100 表哥写的真棒,期待补充

查看全部评分

http://www.imsunshine.cn/
使用道具 举报 回复

回帖奖励 +10 魔法币

起风了,唯有努力生存。
使用道具 举报 回复
发表于 2018-5-10 18:17:55

回帖奖励 +10 魔法币


Speak Less And Do More

少说多做永远是良训,日新月异的安全行业没有能学习完的知识,能做的只有不断的跟进。

可能今天拿不下的系统,第二天就因为一个漏洞被爆出而导致该系统的安全措施崩盘,所要了解的不仅仅是该漏洞怎么去用,同样要去了解怎么产生的,更要了解如何去防御、如何去修复。

不傲不畏,不卑不亢,不骄不躁,不气不馁,不争不抢
使用道具 举报 回复
浅安 版主 蜂巢网络安全 i春秋认证 春秋文阁 白帽传说 i春秋签约作者 i春秋推荐小组 积极活跃奖 燕 幽默灌水王
18#
发表于 2018-5-10 18:45:02

回帖奖励 +10 魔法币

刚学安全的时候,也是迷茫中众多的一员,不由自觉的嘴角微微扬起,想想就觉得好笑。是轻浮,是嘲笑,还是回忆......

“叮铃铃~!” 正在熟睡的少年猛的一声醒了过来。糟糕,快点迟到了。因为这是手机闹钟的第二次想起了,八点二十分上课,现在已经八点了,明明是困得要死,现在确不得起来。还是以迅速的速度穿起了衣服,跳下了床小跑到阳台开始刷牙洗脸。新的一天开始了。趁着刷牙还能咪几分钟......

几分钟之后,他带上了每天一定会拿的耳机,钥匙,还有确保宿舍电脑的网络是否畅通,这才放心的走出了宿舍。这位少年是在校大学生,大一的下学期。他慌慌张张的跑下了楼,脚步比平时快了一个档次,路上的学生已经寥寥无几了,他加快了脚步,开始跑了起来,平时缺乏锻炼的他,从学生宿舍到教学楼跑十来分钟就可以到了。到教室门口之后,已经气喘吁吁的他终于是在上课铃声响之前踏进了教室。

部分同学以及老师投来了眼光,他的头放着很低,眼光看着地下,尴尬的坐到了他的1号座位。上课有时候是要求按照座位坐,老师开始点名也会比较方便。少年长呼了一口气,没有迟到。少年还是一如既往的拿出了耳机。一如既往的并没有听课。熟练的解开了老师的控制,打开cmd 输入mstsc连接到自己的宿舍电脑...

昨晚凌晨三点,宿舍号xxx的窗户还能看到一点点的灯光,那是电脑屏幕投出的光,少年还坐在那种椅子上不断的敲击键盘,不断的点击鼠标,那是少年第一次遇到XML External Entity attack漏洞,他完全没有头绪,不断的在网上查询资料,宿友有的还在玩游戏,有的在玩电脑,时而吵时而安静。带上耳机的他也就能够静下心来安静的思考。他已经弄了挺久的了,他上了乌云查了众多资料,开始了解了攻击原理,漏洞攻击利用,修复方案等,许久之后,那种如同一块迷惑的石头慢慢释放下来的心情,整个人都轻松了。尽管现在已经快接近五点了,努力的人总是会有收获的,他是这样想的。他开了扫描器,对傍晚时收集到某src的子域进行了扫描,希望明天会有收获,做好这一些,他爬上了床,躺在床上后,紧绷了一天的身躯慢慢的放松了下来,慢慢的进入了睡眠...

旁边的同学拉了下他的手,他慢慢回过了神,耳机也摘了下来,原来是老师点了他名。老师叫他回答这段代码结果会输出什么,他回答xxx,看老师的样子,他知道他回答正确了,他慢慢的坐了下来,重新带上耳机,班里上课不是很安静,带上耳机也能隔离,久而久之也就成了习惯了。刚刚的小插曲并不会影响到少年什么,被打断了之后的他又开始梳理昨晚做的事情,加深了记忆,不久。充满期待点了昨晚打开的扫描器,然而真的是越努力越幸运。他真的扫出了一个XML External Entity attack漏洞。在他冷漠的外表上还是体现不出他内心的激动,他开始对这漏洞复现,但是此刻铃声又想了,那是下课的铃声。下课的他会听歌放松什么,会爬在桌子上咪几分钟。但是此刻他没有半丁点的睡意,只想复现出这漏洞。

课间有同学会去上厕所。经过他的位置时,他总是切换了窗口。返回了桌面,因为他不想让别人投来奇怪的眼神,那种不懂还议论的眼神。十多分钟之后。他利用起了漏洞。他获取到了非常敏感的信息,此外次漏洞还存在ddos攻击,会耗尽内存,因为许多的xml解析器解析xml文档中会把它的整个结构保留到内存中。他不想搞破坏,他明白自己是一名白帽子,挖到的漏洞点到为止,就可以提交上去。他蹑手蹑脚的打开了某src把此漏洞提交上去,在报告中写的有规有矩,假装是一个经常提交src漏洞的白帽子。但是危害并没有夸大其词,只是把他的一些想法写了上去。他点击提交,至此,他的src生涯开始了...

上午的两节php课没有听,他没有觉得有什么,因为讲的是基础。然后还挖到了一个高危漏洞,心想还是赚到了,他想着这两节课想咪一节课。补一补昨晚的觉。但是不料手机响了,是学校网络中心的负责人打了电话过来,因为他本身就是网络中心的管理员。他请了两节课工假,来到了学校的西门,这里的网络出了问题,西门旁边是13栋学生宿舍,本来就归他管,老师自然而然的找到了他,他过去勘察了许久,终是在快放学之前搞好了,不过确也学到了一些东西。向老师汇报的时候老师更是纠正了不少问题,让他连连点头。吃完饭之后,他终于回到宿舍了。

睡觉了,好困。躺在床上没过多久就睡着了。迷迷糊糊的又被吵醒了,这群宿友还是一如既往的那样不顾别人是不是在睡觉,依然大声的吵闹。慢慢的坐了起来。感觉挺累的,还是下床开电脑看下漏洞怎么样了吧。漏洞还没有审核,也是,一般也不会这样快,才隔离了没几个小时,何况又是子站。他开始了新知识的学习。对于知识的渴望,总是想什么都学,自己也慢慢的意识到了问题,挖漏洞的时候就专心挖漏洞,不为其他事物干扰,不让扰其心,学编程的时候,就专心写代码。这样效果往往更好。人总是贪心的,总是什么都想得到。不肯一步一步的来,这样往往适得其反。但是他一旦确定了要学什么,就总想弄明白。不管吃饭,走路,或者是睡觉之前。这或许就是痴迷吧。

写了几个小时的代码,少年伸了个懒腰,看了下时间,已经下午四五点了,紧接着在不起眼的右下角,弹出了一个邮件提示,xxx白帽子你的漏洞已通关过,请查收。那莫名的激动感突如其来,他迫不及待的打开了某src看到了漏洞审核通过提示,看着奖励接近快2000的RMB字眼,嘴角蹦出了两个字“wocao”,奖励这么多。要知道,少年一个月生活费也就一千来块。接近快两千的奖励差不多够他两个月了,他一开始的反应就是不用向家里要钱做生活费了,可以自给自足,那种成就感让他学技术的心更加的坚定了。他重拾了下心情,半响之后.... 我一会一定好吃顿好的犒劳自己23333

他并没有忘记初心。以学技术为主。以一颗正义的白帽子之心游走在互联网上,之后都是凌晨睡觉,有时候却是通宵,但是只要能学到东西一切都好,睡觉之前都反省自己学到了什么,或者还能学到什么。久而久之成为了一种习惯。慢慢积累,到至今....

毕竟每天都是发生着各种各样的事,想活到老学到老全是看你自己不是吗

评分

参与人数 4积分 +2 魔法币 +112 收起 理由
李大器 + 5 感谢大佬的分享,对我这种小白很有帮助。谢.
仰望大佬的小白 + 1
Tozsj + 2 + 6 wocao ,给大佬递茶
坏蛋 + 100 论写故事,小安子不是针对谁

查看全部评分

i春秋白帽子军团:451217067
蜂巢网安:613097965
使用道具 举报 回复
浅安 版主 蜂巢网络安全 i春秋认证 春秋文阁 白帽传说 i春秋签约作者 i春秋推荐小组 积极活跃奖 燕 幽默灌水王
19#
发表于 2018-5-10 19:03:27
浅安 发表于 2018-5-10 10:45
刚学安全的时候,也是迷茫中众多的一员,不由自觉的嘴角微微扬起,想想就觉得好笑。是轻浮,是嘲笑,还是回 ...

多半是真的 少半是编的 我要继续更
i春秋白帽子军团:451217067
蜂巢网安:613097965
使用道具 举报 回复
发表于 2018-5-10 19:25:22

回帖奖励 +10 魔法币

大学狗就说一说在大学里的学习经历
1.兴趣,从入学就对信息安全有浓厚的兴趣,当然到现在也有。
2.计划,制定合理的计划并按照计划地去学习往往比盲目的想到哪学哪事半功倍。
3.时间,充分利用起你的可支配时间,没有连续的时间零零散散的时间也要利用好。
4.坚持,从大一开始就算每天只学一小时坚持下来,到了大四也会有不小的进步。
http://blog.163.com/sy_butian/欢迎交流
使用道具 举报 回复
发表于 2018-5-10 20:01:59

回帖奖励 +10 魔法币

本帖最后由 immenma 于 2018-5-13 16:31 编辑

     这篇帖子本来说的是你是如何持续学习技术的,然后向大家分享一点人生经验,不过笔者作为一名长者,更希望给大家说一些长者该有的看法,而不是一股脑的灌鸡汤,毕竟有些鸡汤,你不知道别人有没有放毒.
    就像有只黄鼠狼在鸡国的山崖顶立了块牌:不跳下去你怎么知道自己不是一只老鹰?然后每天在崖底等着吃摔死的鸡.而笔者所见的不少萌新就成了那个跳下去的鸡.



    在继续之前,笔者提出下面几个问题.
   
    Q1.你是否真对某一项技术感兴趣,有着打破砂锅问到底,不知所以方不休的执着?
    这个问题应该很简单,我相信不少人已经信誓旦旦的说,当然感兴趣,不然我问你做什么?当然,第一个问题只是试水,这个问题问了和白问一样,不然你也不会看到这里,我们继续Q2


    Q2.既然感兴趣,你是否有自己去书店/图书馆或者专程找到从事该专业的人员花上大量时间了解相关知识?
    如果没有,我觉得你可以洗洗睡了,我实在无法想象一个真正热爱某一学科的人不自发的去想方设法去查找相关知识,而把"我没有老师教",或者"我看不懂书上的内容"作为逃避的借口,不要骗自己了,洗洗睡吧,至少我所知到的在某一行业走的远的人,他们大部分人从0开始时都是把一本怎么看也看不懂的书来来回回翻了三四遍并且想方设法弄清当中的疑惑,是的,当初没有google没有百度没有互联网,但他们最终还是弄懂了,也许是上帝看他们这样实在于心不忍最终让他们开了窍,但是很遗憾,上帝可不会让那堆嘴上说着热爱,拿着书还打着盹过十分钟就跑去LOL的"爱好者"们开窍,所以如果你不符合这一条件,相信我,放弃吧,也许以后你能成为亿万富翁的概率会比你成为行业翘楚的概率大得多.当然,你可以说我现在才开始感兴趣,怎么办?
    好办啊,你也用不着问别人到底这么学了

    少年我看你骨骼轻奇,将来必成大器,我这里有本C Primer Plus,你先看着,如果你刚翻个几十页就觉得看起来生不如死,你也不用说什么C语言不适合我我决定试试易语言之类比较舒畅的好了,那么我收回我之前说的话,我建议你还是转行吧.


    Q3.你是否有毅力,做好那些你本不愿意做的事情
    其实上面我没有把话说得太死,我说的是翻个几十页就生不如死而不是翻个百来页就生不如死,因为我觉得,翻个几十页还不至于生不如死说明你对这个行业确实是有兴趣的,百来页生不如死我觉得大部分即使是确实非常有兴趣的初学者基本也会,本人自04年开始学C,到今天基本也是近十四余年了.前段日子翻该书翻到后面也生不如死,是的,我们不是逼乎上的那些天才,他们从5岁开始就把C C艹 java scheme...撸了个遍,8岁就开始搞操作系统,编译器基本能把各种标准背下来了,屠版各类Oj ACM做题和过家家一样,进清华北大麻省理工那是小意思,出入BAT 微软 google各种实验室就和自己家一样,典型的不让我读书如果我玩游戏就会死星人,他们的一天是48小时计算的,命中就注定要走上人生巅峰赢取白富美,是的,我们不是那些大佬,所以我们要面对现实,我们要承认我们看一堆鸟书鸟文时是难受的,搞不懂怎么回事,弄不出东西来是想砸电脑的,但是大佬之所以成为了大佬,是因为他们大部分都有抖M情怀,明知道自己被虐的渣都不剩,还是硬着头皮看着他们自己都不知道怎么时候才弄得懂的东西,其实大佬也很可怜的,他们无尽的徘徊在迷茫当中,祈求上帝什么时候能够行行好,让他们在某一刻开了窍弄懂这到底TM是怎么回事.还好上帝大多时候都同情心泛滥,当他们把自己折磨的差不多时最终会给他们脑子开开光,如果你连折磨自己都办不到,洗洗睡吧,上帝凭什么给你开光?你可以说我是天才,而一个天才会看这篇文章笔者宁愿相信明天我会中福利彩票.


   Q4.如果我想学计算机想学编程,英语和数学很重要么?
    说到这个问题,我突然就想起若干年前有一个叫什么黑客教父什么名号的到我校来做宣讲(后来才知道根本不是学校请他来的,就是某个培训企业申请了一间教室来做宣讲),那货好像开篇就灌鸡汤,大概意思是若干年前他老师告诉他不学好英语不学好数学就学不好编程,今天他风格的当上了"黑客教父"要对这位老师的言论发出挑战.
当然我们先不管他"黑客教父"还是"黑客界的东方不败"或者"黑客界的岳不群"之类的名号,我们先不说这个"黑客教父"有多少水分或者这个名号到底是谁给他的,但他他是个好营销员,他成功给一群英语渣和数学渣打了一针强心剂,大家看啊,就算你英语只懂得拼abc,你数学只会1+1,只要肯学一样能像他一样当上"黑客教父",说明英语数学没屁用嘛,如果你这么认为那么也没错,也许若干年后你确实能不靠英语数学成为和他一样的菜逼.
    其实这个问题不说这里,十年前二十年前问这个问题的人手拉手围起来也能绕地球三圈,我们不说那么的激进,大部分人得到的回答是,学编程不用太好的数学英语基础也能学好,这句话的前提是你要怎么去定义"学好"这件事了,如果你指的是学会某种编程语言,那么这句话没有一点问题,拿C语言来说关键字就那么几十个,真正常用的也就那么十几二十个,学会真的够了,但是还是那句话学会编程语言只代表你有一把好菜刀,至于做的菜好不好吃,和你菜刀好不好应该不是必然关系吧,所以别傻了少年,客户来不是看你耍菜刀的,而是来吃你做的菜的,你可以说没问题啊,我认识很多计算机行业的大佬,英语数学也烂的要死,还不是混的好,是,一个xx管理系统,一个xx销售系统,或者是调用某种模块完成拼装工作即使是一个刚毕业的小毛孩也能做,要不是积累的架构经验或者代码维护成本或者人文关怀关系恐怕万恶的资本家早让他歇菜了,剥削年轻力壮的下一代不更靠谱,工资开得少,活还干的多.你能做的大部分人也能做,别人要的更低,为什么不要别人,但如果你真正在计算机领域钻的足够深,例如信号处理,加密解密,深度学习,图形图像....你会发现这特娘的怎么全是数学问题(图像矩阵变换,信号处理的傅里叶变换,什么遗传,退火这种入门的咱就不说了,从密码基础数论的有限域到小波基选择分析筛选圆检测每个方面都够你玩十年),数学问题也就算了,怎么靠谱的论文资料全是英文的,到这一刻你就会意识到那个给你灌输英语数学没点卵用的"黑客教父"到底有多牛逼了,到这个时候,要么你开始恶补漏掉的东西,然后和老板说我翅膀硬了有本事你就炒了我,那些projects你找别人老子不干了,要么就等着毕业生小毛孩来帮你调用那些三方库和模板,毕竟调用函数穿个参数什么的,就算是只猴子教他个三五个月他也会.如果你不能掌握大多数人不会的东西,你也许可以养活自己,但你不能成为大佬,毕竟这两个玩意是你能掌握大多数人不会的玩意的基础玩意儿

  Q5.我要怎么学习,有什么办法么.

   我觉得这个问题挺傻的,这个问题基本就是一句废话,只要你是一个正常人,你在这个领域多肝一分钟你就多一分钟的知识,你就比别人多存储一分钟的干货,你要知道,你面对的不是考试,不是比赛,不是掌握某某题目的套路,如果你面对的是高考,你面对的是想在某某CFT或者ACM大赛上屠版,那么你应该找找方法想想那个高考出题老师或者比赛举办方会挖什么坑让你跳了,找对一个学习方法是对的,这可以让你得高分,可以让你像逼乎大佬一样上清华,可以在CTF,ACM比赛上屠版,但技术学术不是,你面对的就是能解决和不能解决两种选择,你必须保证你的逻辑推论完美无缺没有漏洞,你必须应用你所知道的一切乃至于各种旁门左道去解决这个问题,你要做的不再是揣摩出题人的心理,你要利用你一切的经验,吸取以前你的一切错误,回想你在某本书还是某个论坛偶然看过的任何一个技术或实现去解决这个问题.对此,你肝在这个行业上的每一分每一秒都有可能是你完成这个项目的最终契机,现在无良媒体很多,他们制造了很多十几岁的小毛孩神童,制造了各种天才,制造了黑客教父,制造了dir溢出,门外人看热闹,门内人看笑话,不管媒体如何炒.如何吹,只要世界末日还没来,这个世界就遵循着一个最基本的准则,你为这个领域付出了多少时间精力,那么你就能获得多少,放心,上帝就目前看来还算是个好老板,你付出了多少时间和汗水,他就付给你多少报酬.和出生无关,和天赋无关,和你是不是文曲星转世也无关.

  Q6.我应该报班参加培训机构么?

   你可以参考Q2问问你自己做了多少然后再决定是不是应该洗洗睡 而不是上网问哪个培训机构靠谱,相信我,如果你连自己都没办法对付自己而是要靠找个培训机构找找心理安慰的话还是省点钱不要骗自己了,那培训机构有用么?有用,如果你在某一领域已经有了足够的基础,而且对该领域的某一知识渴望了解,那么培训机构也许可以让你上一趟高速公路快速了解这个知识点,这个时候,我觉得才是培训机构真正起作用的时候(听起来是不是和一分钟时间一分钟收获矛盾了,是的,你想吃苹果,培训机构可以帮你削好苹果去掉核让你快速的,爽快的舒服的吃上苹果,不过某天别人问你苹果什么样的时候你恐怕还得自己从剥皮的问题开始重新趟一遍坑,不过当然毕竟不是谁都对苹果皮有兴趣,你可以自己取舍).




   最后,话怎么说都是死的,你不自己去试试怎么知道,你说你想学,你倒是马上去学啊,如果办不到,找场电影看或者去某个地方打个盹,不比你自我斗争式的纠结美得多么.
  
   


   
   
   


使用道具 举报 回复
发表于 2018-5-10 21:15:04

回帖奖励 +10 魔法币

浅安 发表于 2018-5-10 18:45
刚学安全的时候,也是迷茫中众多的一员,不由自觉的嘴角微微扬起,想想就觉得好笑。是轻浮,是嘲笑,还是回 ...

用的什么扫描器
使用道具 举报 回复
z7788520 i春秋作家 ← 假 真➡i春秋打杂员 突出贡献 积极活跃奖 核心白帽 白帽大神 i春秋签约作者 热心助人奖
23#
发表于 2018-5-10 21:58:02

回帖奖励 +10 魔法币

作为一个菜鸟,作为一个非安全专业的特效师,学这个东西完全是兴趣,要是没兴趣的话也不可能从高中坚持到快大学毕业了,首先,兴趣当然是最好的老师

    如果说安全是一个圈子的话,那我还是建议大家不要“混”在这个“圈子”了,没什么用的,QQ群还是那批人,论坛扒了裤子看看还是那些人,来回就是那几个没有营养的问题。

    不知道大家听没听过“一万个小时定律”,一万小时定律是作家格拉德威尔在《异类》一书中指出的定律。“人们眼中的天才之所以卓越非凡,并非天资超人一等,而是付出了持续不断的努力。1万小时的锤炼是任何人从平凡变成世界级大师的必要条件。”他将此称为“一万小时定律”。要成为某个领域的专家,需要10000小时,按比例计算就是:如果每天工作八个小时,一周工作五天,那么成为一个领域的专家至少需要五年。这就是一万小时定律。而每个人不可能每天都学习这么长时间,所以大约需要6+年的时间

    现在很多人很喜欢刷洞,一个通用漏洞,批量扫全网的刷,如果是缺钱可以,但是拿这个每天乐此不疲的当成正经事干的话,那....还能说什么....如果挖洞,可以针对性的挖一挖国内各家的SRC,虽然他们良心确实大大的坏了,但是先磨练下自己的技能,再去国外的额平台挖,奖金高,漏洞质量也高,学习能力提升的不是一个档次的问题

    既然挖洞了,学习几门语言是很有必要的,推荐大家学习python(个人觉得python)以后使用空间比较大一些,能写脚本,能写poc,能写exp,最重要的是我可以拿来做特效脚本,不想做安全的特效师不是一个好孩子,知道很多人学编程的时候会半途而废,学1天玩1周,回来的东西全忘了,再从头开始学,就像我每次要背单词,从a开始被,高中,an这个单词,背了4年.....

所以,制定学习计划,强迫自己去学习,建一个笔记本,每天记录自己学习的笔记过程,每天学习最少2小时,python学完三个多月就够了,一点不累,快乐的学习,比如这几张python学习路线图,标注时间,标注学习内容
996618-20170708155456284-1626729201.jpg
20160216161754_589.png
     学完python之后,接下来就学校poc,exp编写,编写教程google上多得是,然后,爬去一些网站的exp学习,比如:Exploit Database,seebug

    其实,学安全刚开始是兴趣,后来完全靠意志来坚持了,每个群里每天从知乎进来的人数不胜数,超过98%的是感兴趣,过几天就会忘了这件事,而肯去学习的就剩2%的人,在最后,只有1%的人会去坚持下去,而这1%的人的道路又是多么的坎坷,所以,既来之,则安之,坚持下去,Yes, you can

如果你能坚持下来,那么恭喜你,离猝死、掉发又进了一步,有一个强健的体魄是很重要滴,不要相信那些大佬为什么总是在夜里眼睛放光,那是因为,目标管理员一般会在晚上休息,晚上更不易惊动管理,二是因为晚上相对安静一点,白天易被外界环境打扰,不是因为听说的黑客总会在晚上行动,牛逼的随时都可以,那么你需要坚持锻炼身体,比耐力,比毅力,才能挖到别人挖不到的洞,每天跑个几公里,1个小时就够了,

      开头说的,不要局限于你认为的这个都是大佬的圈子,多去墙外看看,看看老外挖洞的思路,是整天拿个扫描器瞎几把扫吗?挖洞不是重复的挖同样的漏洞(相对而言),你挖的密码重置充其量算是挖BUG吧,那么,需要去学习二进制漏洞和汇编语言,看雪、飘云阁、吾爱是个很棒的地方

     最后,放一个demon表哥的浏览器收藏夹,和一些推主
图片1.png
图片2.png
demon收藏夹.zip (53.84 KB, 下载次数: 47)
不惹事,不生事,妖魔鬼怪快走开
使用道具 举报 回复
发表于 2018-5-10 22:39:39

回帖奖励 +10 魔法币

我只是个普通大学的学生,专业和安全也是毫无相关。偶然的一次遭遇,让我对安全产生了浓厚的兴趣。但又是个刚入门的小白,又不知道如何说起。向大佬提问?大佬哪有空管你这个小白,还不如自己百度学习。
最开始混迹于各种网络安全装逼群,编程技术扯淡群。。。。最后鬼使神差的混入了传说中的装逼作家团。。。
好了,好了,开始正题,我平常的安全学习之路就是,多逛安全技术论坛,去看一些大牛的作品,从中学习他们的思路技术,同时做好笔记,必要情况下去复现一下漏洞环境,加深理解。
说到安全,肯定离不开编程,目前我的弱项就是编程,最近也在疯狂的补课(视频+疯狂敲)中。。。也是从最基础的学起,希望以后大家一起进步
低调求发展,潜心学安全 个人博客www.shallowdream.cn
使用道具 举报 回复
发表于 2018-5-11 08:53:43

回帖奖励 +10 魔法币

1.对新事物的好奇,每当接触到以前不了解的东西,就一顿搜索。
2.每天必刷一些网站(如:frebuff)了解一些新的咨询等等
3.有空的时候刷刷技术论坛
使用道具 举报 回复
发表于 2018-5-11 09:38:18

回帖奖励 +10 魔法币

1、羡慕、嫉妒别人比我厉害,所以我要学习。
2、我穷,只有技术牛逼了才能加工资,所以要学习
3、兴趣,白帽子挖漏洞感觉是多么的高大上,每次挖到漏洞的那种成就感,让我兴奋。
小白~~~
使用道具 举报 回复
发表于 2018-5-11 15:23:32

回帖奖励 +10 魔法币

谢邀!

写在前面

首先我是不同意“三天不学习,赶不上刘少奇”,(曲解一下)天赋这东西你不服不行,别说三天了,可能三年你也赶不上某些人,因为总有人一分钟就能理解你一个小时都无法理解的东西。
当然了,没有天赋还不学习就是真没救了,勤能补拙,拙而不勤活该你笨。

练武不练功到头一场空——内力修炼篇

如何持续学习——成就感

学习最大的敌人我不知道,但是自我满足不是敌人。一个长期的学习过程如果总是得不到满足是很难坚持下去的。试想一下,如果爱迪生这辈子无论用什么材料都点不亮灯泡的话,他还能发明出灯泡吗?如果你每次编译程序都报错,一天下来连个helloworld都写不出来你还会用c++吗?(你也许会考虑用python后发现一分钟就搞定了)。所谓成就感就是一种自我满足,就像吃饭满足饥饿感或食欲,xxx满足x欲。吃碗泡面满足了你会想加个蛋加个肠;xxx满足了你会想来点花样。然后不停学习不停满足。人总是贪婪(贪婪的意思是想要更多,词汇有立场,但是用在不同语境,褒贬意就不一样了,其他词汇也请自行体会)而不知足的。这也就促进了你一直学习。
所以,保持你学习热情的根源是成就感,付出得到了回报,你就会付出更多,进而得到更多的回报。

如何驱动学习——目标

成就感是提供持续学习的动力,而动力就像机车的汽油,不可能一次加到无限,用完了就要加,不然要么车走不快要么就完蛋不动了。
所以学习需要保持成就感,那么如何保持呢?举个例子:
我先定一个小目标,先挣一个亿,然后发传单努力半个月发现才挣了900块(按照一天60块钱算)。明天你还想去发吗?
当然了学习技术不是发传单,上面的垃圾例子只是想说,保持持续学习力的方法就是定小目标,继而通过努力实现这些小目标。每实现一个小目标你就会获得一个小的成就感,每实现一个大目标(由小目标组成)你就会获得一个大的成就感。
今天看了python语法写了个helloworld(语法基础),
明天我用库起了个web服务,simpleHTTPServer(库的使用),
后天我就在图书馆用一分钟开了个http服务,小师妹愉快的从本师哥电脑里拷贝了1GB种子。
第一个小目标实现。然后你发现你起得服务没法上传于是你又写了个上传模块,第二个小目标。接着图形化、美化、多线程、协程、巴拉巴拉。你发现你原先只是想和小师妹看电影,却不知不觉写了个huang坛。
技术需要严谨点,咳咳。
所以,你首先要知道为什么学这个,为了兴趣还是为了赚钱还是为了别的,瞎几把学是学不出什么东西也坚持不下去的。然后定个目标,朝着实现的方向去做就行了。目标有大有小,努力后无法实现目标意味着太大了,那就大事化小,一个一个来,每实现一个小目标你都会感到高兴,继而促使你实现更大的目标,当你实现你的目标后,你会有新目标,会想要实现更庞大的梦想。源源不绝,停不下来,子子孙孙无穷尽也(神他妈知道自己为什么写这句话)。

这个标题我编不了——知识闭环

宝宝时间紧迫又要去忙了,这里长话短说。
我理解的知识闭环就是:看书(官方文档+博客+书等,有理论说这是输入),然后记笔记(只是为了集中精神和梳理框架,我知道记了也没空或者不会看),然后总结精髓(发发博客或者自己瞎几把总结然后告诉别人,好像有理论说这叫输出)。
一直看书会睡着的(所以要记笔记),记完笔记不会看的(所以要写博客或者总结精髓)。你不说别人是不会知道的,不管对错你自己都没法自查自己想的方法的对错(所以我写了上面这些废话)
通常不管你输出的是什么,哪怕只是一个“楼下说得对”,都会有人给你点赞(这个时代就是这样),这个世界处处充满感动(我超喜欢这里的,他们个个都是人才,说话又好听,还会给我点赞)。
所以,学习——记录——结果——分享——获取成就——开花。这就是我的日常。

你以为说完了?——方法论

等等!(尔康那个表情)
说好的日常呢?我截个图吧,其实我很想发表情包的,可是发图好麻烦啊。我很想讲故事的,可是好忙啊。
以下是日常:

<img src=@ onerror=alert(7)>

<img src=@ onerror=alert(7)>

其实,写什么都一样的

不爱学习的人怎么也学不了。
爱学习的人只会借鉴方法不会照抄照搬,所以自有一套方法论。
至于那些有用的东西,人类都说了几千年了,反反复复说有几个意思。大家都是抄现饭(西南官话,做以前做过的事情),get不到点的人永远教不会。
我们要做的是自己教会自己,方法什么的,当个屁看看就好,看多了反倒懵逼了(我觉得抄书一百遍这种方法就挺好的)。

评分

参与人数 2魔法币 +8 收起 理由
渡鸦 + 3
李大器 + 5 感谢你的分享,谢谢你

查看全部评分

# 仅余我与暮色平分此世界
# 孤独的观测者

# 博客地址:www.lonelyor.org
使用道具 举报 回复
发表于 2018-5-11 15:23:54
本帖最后由 AlShelley 于 2018-5-11 15:33 编辑
AlShelley 发表于 2018-5-11 15:23
# 谢邀!
## 写在前面
首先我是不同意“三天不学习,赶不上刘少奇”,(曲解一下)天赋这东西你不服不行, ...

emmm我以为直接就支持markdown的。排版简直难看到爆炸啊。
# 仅余我与暮色平分此世界
# 孤独的观测者

# 博客地址:www.lonelyor.org
使用道具 举报 回复
发表于 2018-5-11 17:02:13

回帖奖励 +10 魔法币

可能是初次知道黑客这个行业的时候吧,
对自己有种莫名的吸引力。

慢慢学习基础知识,慢慢成长吧。
使用道具 举报 回复
您需要登录后才可以回帖 登录 | 立即注册