個人成長 學習安全,哪些資源我必須要知道

2022-07-27 11:00:16 字數 4021 閱讀 4998

安全涉及的知識面非常廣,更新速度也很快,前輩們很難有足夠的時間和精力來言傳身教。這個時候就需要我們具備良好的自學能力,通過持續地學習來掌握新的知識,應對新的變化和挑戰。

優質的學習資源是自學的重要基礎。今天,我就來盤點一下,對我個人的安全學習產生幫助的各類學習資源,以及不同階段的安全人員應該如何對各類資源進行取捨。

安全的核心能力分為兩個方向:攻擊和防禦。俗話說「未知攻焉知防」,所以,學習安全一定是從攻擊手段入門,在掌握了一定的攻擊基礎之後,我們再考慮選擇某乙個方向深入學習。

所以,我建議剛入門的同學可以先選擇幾本攻擊方向的經典書籍來學習

白帽子講web安全》這本書是大部分人的安全入門書籍。它覆蓋了絕大部分的安全攻擊知識,而且作者把知識點講解得清晰,即使你沒有安全基礎也能很好理解。可以說,在學習完這本書之後,你已經具備了安全人員所需要的全部基礎知識。

如果說《白帽子講web安全》是一本入門教程,那《黑客攻防技術寶典》就是一本攻擊手冊。雖然同樣是講web安全攻防內容,但是《黑客攻防技術寶典》對其中涉及的每乙個細節和原理(如http協議,瀏覽器技術等)都進行了詳細講解。你在學習web安全的過程中遇到的大部分問題,都可以通過翻閱這本書來解決。因此,我建議你通讀這本書,並且結合實際工作中遇到的問題隨時查閱。

熟練使用各種滲透測試工具是安全攻擊的必備技能,metasploit是最為常見的滲透測試工具之一。《metasploit滲透測試指南》這本書是學習這款工具最經典的書籍之一,書中對如何利用metasploit發起各類攻擊測試,進行了詳細介紹。如果你想要快速掌握metasploit的使用方式,這本書能夠幫到你。

學完這幾本書,你不一定能發起一次真實的攻擊。但當你面對任何一起攻擊事件時,一定能知道它的原理是什麼。這恰恰就是所有安全人員需要具備的基礎能力。

有了一定的攻擊基礎之後,如果你還想向攻擊滲透方向深入鑽研,那就不是任何一本書能夠解決的了。這個時候實戰訓練能夠幫助你快速成長。下面,我就來分享一些我覺得很實用的攻擊滲透平台。

webgoat是最權威的web安全組織owasp提供的乙個web安全練習平台,它幾乎涵蓋了全部的web安全漏洞的講解和練習內容。使用webgoat有兩大好處:首先,它是乙個本地的平台。這意味著你可以隨時檢視網頁的原始碼,甚至進行除錯。因此,你可以清晰地了解一次攻擊發生時,web應用內部到底發生了什麼;其次,其中的每乙個練習內容都有對應的知識講解。所以,這個平台對你明確攻擊方向,進行安全入門訓練是十分適合的。

pwnable.kr是我體驗過的免費的攻擊滲透平台中最好用的乙個。pwnable.kr中的題目更偏向系統和應用層的攻擊滲透(這些都是許可權提公升過程中的常見手段),適合用來進行攻擊滲透的高階訓練。pwnable.kr的好用之處就在於,它提供了乙個可以直接訪問的linux系統環境,省去了你在本地搭建環境的繁瑣過程。

但是pwnable.kr有乙個缺點,就是不提供任何解題思路和答案,不過,網上已經有很多人公開了平台上題目的解題思路,你可以用來參考。但是,我還是建議你至少花2-3天的時間去思考和解決一道題目,如果仍然得不到結果,再去參考別人的答案。

如果自我訓練已經無法讓你獲得成就感了,那是時候去參加一些比賽了。目前,國內的xctf聯賽最為知名。你可以獨自作戰,也可以叫上幾個朋友組團參賽。

通常來說,一場ctf比賽會進行48小時以上,如果你精力充沛的話,可以去體驗一把挑戰極限的快感。而且,比賽方通常會在賽後公開部分題目的解題思路,你也可以拿來作為學習的資源。通過不斷參加比賽,你可以磨練自己的攻擊技巧和能力。除此之外,如果獲得了足夠的積分和名次的話,也是證明你個人能力的乙個有力證明。

當具備足夠的攻擊能力之後,你既可以成為安全滲透人員,為企業應用的安全貢獻力量,也可以成為一名「白帽子「,專門去挖掘各個公司的安全漏洞,然後提交給對應的src,獲取各類物質獎勵。

如果你選擇的是安全防禦方向,你會逐步接觸到公司的安全防禦工作。那麼在一開始,你一定要去學習各大公司的安全負責人的經驗,看看他們的安全建設思路是怎麼樣的,以及有哪些「坑」需要注意。閱讀他們的書籍,就是向大佬學習的一種最簡單、快捷的方式。

有關企業安全的書,我讀過比較好的有:趙彥的《網際網路企業安全高階指南》、聶君的《企業安全建設指南》、石祖文的《大型網際網路企業安全架構》。這些書中有很大部分內容是相似的,從任何一本書中,你都能夠了解到企業安全體系建設所需要使用的工具。對我個人來說,書中最精華的部分是作者對安全體系建設的思考、對各類安全工具的理解。

這些書的相似內容很多,讀起來也不會花太多時間,所以,我建議你將這些書都讀一遍。而且這些書籍都是安全行業內鼎鼎有名的大佬們,基於他們自己的防禦體系建設經驗總結而成的。雖然你不可能完全照搬裡面的安全建設方案,但你可以從中吸取經驗教訓,博取眾家之長,然後設計出適合你們公司的最佳方案。

除了書籍和練習平台,我還想和你分享一些比較有價值的安全證書。以我了解到的現狀,這些證書對應聘安全工作不會有太大的幫助。但我認為,這些證書最大的意義就在於,它能夠推動你對安全知識體系進行補充和整理。因為考證的過程也是你對學過的知識,進行再次學習和思考的過程。

其次,儘管對職業發展可能並沒有幫助,但不論是對內行還是外行來說,證書始終是證明你安全能力的乙個有力標籤。

下面,我就來分享三個我認為最有價值的證書。為了方便你對比,我把這三個證書的基本資訊總結了一張**。在此基礎上,我會重點分析一下,這些證書分別給我們的安全職業發展帶來的好處。你可以結合自己的情況,來選擇是否考取這些證書。

cisp(certified

information security professional

,註冊資訊保安專業認證)的考試普遍反饋難度不高。不過我認為既然主動去考證了,目標就絕不僅僅只是考試通過,而是以學習和自我提公升為主要目的。在內容上,cisp整理的還是很完善的。而且cisp強制培訓,在培訓過程中,通過講師的介紹,同樣能夠學習到不少理論和實踐的內容。

在內容上,cissp(certification

for information system security

professional,資訊系統安全專業認證)會比cisp更豐富一些,不僅包含一些國際性的政策和框架,還包含諸如物理安全等更偏向運維的內容。另外cissp不存在題庫,它的初衷就是希望你不僅僅只是去背教材,而是能夠自主梳理知識,並且深刻理解安全。因此,學習cissp不僅能拓展你的知識面,還能幫助你進行自我總結和提公升。

cisp和cissp是更偏向公司防禦的證書,而oscp(offensive

security certified

professional,安全攻擊專業認證)是專門針對攻擊滲透的證書,最近也比較熱門。如果你在自主訓練時覺得缺乏明確的方向,其實可以嘗試通過考取oscp證書來獲得指導。另外,ctf比賽競爭還是比較激烈,拿到名次也很難。因此,我認為可以將oscp作為ctf之外的另一種選擇,只要拿到了oscp證書,同樣能夠證明你的攻擊滲透能力達到了可以實際運用的水平。

最後,我還想推薦3個比較常用的資訊**,freebuf、安全客和安全牛。這些**每天會更新一些安全新聞和學習資料,你可以通過它們快速查詢最新的行業動態。我個人一般是利用休閒時間,來閱讀這類**上的內容。我會先快速地瀏覽一下標題,找出一些感興趣的內容進行了解。如果遇到某些特別感興趣的知識點,想要深入挖掘,我會再搜尋其他的相關資料來補充學習。

我覺得無論跟隨哪個課程進行學習,都不可能學完所有的安全知識。所以,在學習安全的路上,自學是我們不斷精進的主要方式。

我的經驗是:書籍能夠幫助你入門,並且指導你進行防禦建設;實戰演練是掌握安全滲透技巧的唯一途徑;安全證書一方面能幫助你對整體的安全知識進行全盤梳理,另一方面也是你個人安全能力的乙個證明;安全資訊是幫助你掌握安全動態,發現新知識點的乙個不錯途徑。

想要學好安全,沒有什麼捷徑可以走,唯有多練多看。因此,對於安全的學習,我不建議你在前期花過多的時間去做基礎知識儲備,那容易變成紙上談兵。我更建議的是,當有了一定安全基礎之後,你要找機會盡快投入到實際的演練或者工作中。在實踐的過程中,你再對遇到的困難或者知識盲區進行有針對性的學習。另外,在積累實際經驗的過程中,週期性的自我總結,以及對知識進行系統梳理,也能很好地推動我們的個人成長。

論個人成長

為什麼雞湯文 羅輯思維 標榜自我提公升的自 那麼那麼的多?說白了,就是拔 走在成長路上 這些人的羊毛。韭菜一茬一茬,羊群一波一波,自 們也忙得不亦樂乎!認知體系 價值觀 技能,這三者是無時無刻不在左右乙個人的命運,是藏在每個人背後的引導者,是個人成長的核心。以下是本人的見解 不喜勿噴,不爽就滾蛋!認...

個人成長書單

基礎 python從入門到實踐 python基礎教程 高階 python cookbook 流暢的python 應用 python3網路爬蟲開發實戰 python深度學習 基礎 c深度剖析 c與指標 高階 c專家程式設計 c語言介面與實現 c陷阱與缺陷 程式設計珠璣 通識 深入理解計算機系統 原書第...

個人成長雜想

決定乙個人一生命運的,我認為包括天資 性格 機遇,以及臨門一腳時的運氣。1 乙個人如果不夠聰明,那至少要有悟性,否則不管怎麼努力,怎麼有好運,都不會發展特別好 2 性格決定了你是否會努力,是否會追求興趣,是否堅韌不拔,是否充滿鬥志,是否遇到困難迎難而上,當然性格是可以打磨的,是可以自己後天苦心經營的...