我是 985 渣硕一枚,女孩子一枚,本科学的是信息安全专业,学了防火墙、入侵检测、密码学等这些基本的安全课程,但是都已经忘完了,研究生没有接触安全,目前面临毕业,找的工作是 C++研发助理,但是个人对安全有兴趣,工作据说比较轻松,周末双休,想一边自己学习下 Web 安全,应该怎么去学习?有些什么推荐的网站。 感谢各位
1
fcoolish 2018-11-05 11:10:19 +08:00
方向性问题应该问知乎,大二搞过一下信息安全,网站无非是 i 春秋,合天网安,实验楼这类在线学习实践的,还有些安全社区,很多我都忘了,所以建议去知乎看专业人士回答。
|
2
hx1997 2018-11-05 11:57:38 +08:00 via Android
|
3
zzNucker 2018-11-05 12:32:08 +08:00
我记得余弦有张技能图 里面写的挺详细的。
然后之前知乎长短短有个 live |
4
llllllLllll 2018-11-05 12:32:43 +08:00 via Android
看书 /网课,自己搭环境多练练手😄
|
5
llllllLllll 2018-11-05 12:35:54 +08:00 via Android
平时追一些 cve 和新漏洞,有机会复现一下,提高蛮大的
|
6
t6attack 2018-11-05 12:37:41 +08:00
我知道的有三类:
第一类:面向大众网民的。提供大量入侵教程、黑客工具、教学动画。 代表性网站:黑客基地、华夏黑客同盟、黑鹰基地、黑软基地、黑客动画吧。。。 代表性漏洞形式:SQL 注入漏洞。 ZF 对这类网站很反感,其中黑客基地、华夏黑客同盟,都被公安数次施压。黑客基地两任站长都在监狱里。黑鹰基地直接被公安查抄,全员被捕,服务器拎走。 https://www.aliyun.com/zixun/content/2_6_77974.html 第②类:面向专业人士的。需要你了解操作系统原理,汇编语言、软件分析逆向。 看雪、邪恶八进制、 第三类:漏洞报告平台。以乌云为代表。嗯。。。 |
7
wongskay 2018-11-05 12:38:59 +08:00
小姐姐要不要我教你,刚好我自己在整理这方面的东西。
|
8
easylee 2018-11-05 12:40:29 +08:00
楼上推荐的都很不错,在此推荐 91 日。
|
9
t6attack 2018-11-05 12:41:27 +08:00
没编辑完不小心发出来了。。唉,不写了。基本意思应该已经表达清楚了。
|
11
Sanko 2018-11-05 12:48:17 +08:00 via Android
最近刚发现的 bugku
|
12
Everyman 2018-11-05 12:49:46 +08:00
V2EX 里通常提到知乎都是在黑的,但不得不说你这类问题去看知乎的质量回答比在这里提问有用多了。
|
13
sfree2005 2018-11-05 12:55:42 +08:00 via Android
平时做 web app,服务器安全方面基本是运维搞掂,单纯安全的话就业开始可能比较窄。不如你可以先往运维方向,然后越做越专,有一定经验后,后期你基本就是可以做安全顾问了,那时候你就是指挥别人做,可能你就写写文档偶尔敲下命令了。
|
14
visonme 2018-11-05 13:05:27 +08:00
基本的 web 开发和数据库知识这块需要了解下
可以去 owasp 学到很多关于 web 安全的基础知识,攻击方式等等~ pediy 比较偏向系统安全,web 是后期起来的,所以这块知识可能不够丰富 phrack,最著名的黑客杂志,也可以看看,反正以前看的时候很少看到 web 这块的东西~ |
15
t6attack 2018-11-05 13:18:30 +08:00
@zzNucker 这正是我想表达的。一方面,ZF 对这类网站极不友好,甚至直接动用公安查抄做的最大的几家。导致剩下的网站风声鹤唳,要么主动关停、要么不再更新。入侵教程也大量删除。
另一方面,分享的时代已经过去了。技术趋于垄断和封闭。这导致网上能学到的东西很少了。 关于 web 安全知识,最新最全的,其实就是乌云,其历史漏洞列表,几乎囊括了所有的 web 漏洞形式。可惜也没有然后了。 想学习,建议买书看。比如《白帽子讲 Web 安全》。 |
16
phpinfos 2018-11-05 13:52:10 +08:00
web 安全入门很快的,杂乱点的话,去乌云镜像站刷刷别人提交的漏洞,同时打好编码的基础。
来这里看看,Github 上搜:Web-Security-Learning p 牛的 vulhub 练手很方便,Github 上搜:vulhub 或者更系统的去学习。 |
17
Greenm 2018-11-05 15:01:43 +08:00
楼上说都都很多了,安全从业者来给你泼瓢凉水。
你说自己本科就是安全专业,如果真的有兴趣为什么那个时候不学呢,研究生根本没接触,现在才开始有点晚了。 另外,你提到安全行业好像轻松很多,有双休,所以你才想做安全,我就恶意的揣测一下你的动机,你并不是真的喜欢安全,你只是不想做开发那么累的工作(猜的不对的话我道歉)。 俗话说,光看贼吃肉,没看贼挨打。要是有这样轻松的工作,为啥安全行业人才还是那么少呢,为啥工资还高呢? 我建议你把安全当个爱好还是不错的,临时抱佛脚找安全工作还是算了吧,没戏。 |
18
bk201 2018-11-05 15:13:07 +08:00
安全这领域不是业界有点名气的,我估计很难吧,而且知识面要求是相当的广.
|
19
shrimp929 OP @Greenm 可能我表述有点问题,我现在找的工作是周末双休,比较轻松的,因此有空余时间,对于安全想当个爱好去学。研究生阶段搞实验等等去了,我是学硕,我们毕业对论文要求很严格的。本科的时候学了一点,都忘记的差不多了。
|
22
Greenm 2018-11-05 15:21:33 +08:00
|
23
batman2010 2018-11-05 16:09:51 +08:00 via Android
可以先玩一下 webgoat,内容都是最常见的 Web 漏洞,你有基础应该很快能捡起来。
|
24
Cukuyo 2018-11-05 17:38:26 +08:00
看到这个话题,突然心悸了下。和楼主不一样,我只是个普通本科的信息安全专业,刚毕业一年多。目前在做开发工作,也经常对未来的路感到迷茫
|
25
Twosecurity 2018-11-05 17:39:41 +08:00
|
26
feverzsj 2018-11-05 17:41:47 +08:00
网络安全是你对建网站本身有一定了解后,才能开始学的
|
27
hymxm 2018-11-05 17:49:35 +08:00
@zzNucker #3 http://blog.knownsec.com/Knownsec_RD_Checklist/ 大兄弟应该说的是这个吧
|
29
clino 2018-11-05 17:59:11 +08:00
|
32
SP00F 2018-11-05 18:51:08 +08:00
- - 搞安全并不轻松啥周末双休。。。。
一个安全响应的时候,得加班得爬起来。。苦逼的时候就老苦逼了,而且做安全有很多方向,做渗透呢还是做安全研发呢等等。 |
33
zzNucker 2018-11-05 19:08:25 +08:00
|
34
whwq2012 2018-11-05 19:14:35 +08:00 via Android
985 硕士还这么迷茫吗。。。。
|
35
realfreesky 2018-11-05 19:22:27 +08:00 via iPhone
安全真的很累,并不是想象中的那么轻松
|
36
exhades 2018-11-05 19:28:08 +08:00 via Android
搞安全很累的说。。。
|
38
io123 2018-11-05 20:45:13 +08:00 via Android
一杯茶一包烟,一个破站盯一天
|
39
yw9381 2018-11-06 04:11:56 +08:00 via Android
当前安全行业半自由。以前搞渗透做服务的。现在偶尔做点渗透方面的事情。主要精力在 CTF 比赛方面。给个我在 17 年知乎上的一个回答。希望能够给你一点启发
https://www.zhihu.com/question/67765799/answer/259845720 |
40
hu5ky 2018-11-08 22:30:56 +08:00 1
目前为止所有的社会圈子,,特别信息安全并没有特别好的地方,所有圈子都在 wooyun 倒后,开始了私有化,几个熟悉技术好的人凑在一起交流。对新手而言会很难受,如果真的想搞,就多看看书《白帽子讲 web 安全》《代码审计》多看看 wooyun 镜像的案例。
|
41
onice 2018-11-10 19:02:33 +08:00 1
建议先学下如何建站,至少要理解前端和后端以及数据库。然后买一本《白帽子讲 web 安全》作为入门。
学习路线可以参考如下链接: https://www.sec-wiki.com/skill/2 |
42
Kepha 2023-08-13 11:40:31 +08:00
可以半工半读一个线上的网络安全硕士学位,虽然现在国家不承认了,但老美还是认的,和线上上的具有同等效力。刚工作,正是学习扎根的好时候,祝福你!
|
43
badbay 272 天前
请问楼主现在是从事安全行业吗
|