谈web安全中的兴趣,方法与方向

fuchou-angle

谈web安全中的兴趣,方法与方向


Tosec Security Team 'Blog

以下内容全为本人真实感受。
很多人接触到web安全通常是从黑客技术开始的，当然我也不例外，初三的时候无意间了解了黑客技术，可能是某天从报纸上看到了中美黑客大战的问题吧。刚接触黑客技术的时候，估计很多人都会困惑我该学什么？怎么学？感到毫无方向，现在我有时候到论坛逛逛也经常为碰到别人问这样的问题。虽然我自己的水平不算太好，但是我经过这长时间来也有些感悟，所以呢在这里我谈谈自己的想法：


     1，首先，最好的是，你有兴趣，愿意干这一行，愿意成为职业或者业余的网路安全研究者（此处暂不提及“黑客”），有了兴趣就有动力，有了动力那么在遇到困难的时候敢于去主动求解（此处强调主动，后面将给大家讲下怎么为主动）。这点事很关键的前提条件。

      2，方向。一个高手固然需要很多的知识面，但并不是每个知识都为他需要，他只需要明确自己的专长，明确自己的研究方向。一般来说我们可以把知识分为2个：1，网络，2软件安全。软件比如说系统软件，也就是我们常说的操作系统，它也是安全的一方面，你可以研究溢出，可以研究各种代码漏洞，但是你要明确，我现在研究的是软件，而非网络。那么对于网络方面，你只需要了解与你相关的知识就可以了，关于网络拓扑之类的只需点到为止。同样你如果是网络安全的研究方向，那么对于溢出你也只要知道这是一个怎样的漏洞，会产生什么现象，如何利用，是否可用于提权，并不需要过多的去了解。  所以对于初学者，要有一个自己的方向，方向是建立在兴趣之上的，通过把方向不断的细化，在自己的方向上有所突破，那么你就成功了，举个例子：一个企业的IT人员肯定不止一个（大中型企业），因为各有各的分工，不可能一个人同时处理硬件又处理软件，我们要集中自己的优势，发挥自己的长处才是最佳的途径。

       3，方法。有了兴趣，有了方向，那么还要一个好的方法，我的方法是自己总结的，大家也要学会自我总结，（我们这个组织的老大也经常要我们自我总结，分析一下整个过程），所以建议大家对自己每个阶段做个总结，对下个阶段做个规划。前面谈到“主动”，主动的解决问题是我们聪明的体现，不仅锻炼了自己的思维，也让自己的印象深刻（虽然有可能会花掉一定时间，但是这个时间花的是值得的），虚拟世界中，互联网是最好的老师，现实中，书本是最好的老师。不懂的问题，我们要充分利用搜索引擎，找到自己的答案，主动去找，而不是到处求人，听别人怎么讲，对的错的也不知道（当然我不否认，向别人请教也是一种方法，但是我希望是通过我们自己的努力而无法找到答案），举个例子：有些人在论坛发帖：什么是0DAY，别人的回复几乎全部是：baidu或google ，在有些帖子无非是给个链接，但还是摘自于GOOGLE或BAIDU，很显然这种问题纯属没必要问，为什么不自己到网上搜下呢？ 再来说说关于VIP会员的事情，有些人也曾问过：哪的VIP会员最好，其实没有最好的，加入VIP无非是给你些教程看，解决下你遇到的问题罢了，或许别人给你个代码比如说<script>alert('cmd')</script>这是个很简单检测XSS的，但是你知道这个含义吗？它是哪个语言中的？并非每个VIP里面的老师都会讲这些，所以还是需要自己独立去学习。别人的教学模式不一定适合自己，请记住，适合自己的方法才是最好的。方法是建立在不断总结，不断规划之上的。


        OK 这篇文章主要谈了谈自己的感受，希望对于一些新手有点指示的作用，也希望大家提提意见，谢谢