由于第一篇公众号文章是昨天凌晨发送的,新注册的公众号好像一天也只能发送一篇,因此为了以更好的阅读体验,所以尽量统一到白天发送。
公众号注册一天半时间,关注用户目前已经有500关注了,有点惶恐,虽说自己是不是盈利性质的,但也怕在给别人建议帮助的时候,给出了错误不好的观点,误人子弟。
这两天加了很多安全圈的师傅,还是以刚入坑或者入坑不久的师傅为主,聊的蛮多,不放截图了。其实也蛮符合我当初的构想的,通过这私信和留言的交流,碰到最多的问题我大概总结了下:
1.方向太多,不知道怎么选择。
2.学习一段时间,不知道怎么具体运用
3.一些细节的技术问题
下面是我的一些想法,不一定对,仅供参考。
方向太多,不知道怎么选择
_挑选自己最有兴趣的细分方向,因为兴趣是最好的老师。_其实安全工程师在某些方面也挺像全栈工程师的,需要很多都熟悉,很多都要会达到熟练使用的要求。但是不管怎样,始终都得有自己的看家本领,你都得很精通一门语言或者很精通一些安全技术,而这个看家本领就是你最核心的竞争力。安全领域的细分方向很多,光是Web安全和二进制安全就很少有师傅可以顾全(当然还是有的)。
学习一段时间,不知道怎么具体运用
_针对性的多去做挑战练习。_其实这里想吐槽一个事情,就是有些时候会过度依赖靶场。
靶场我觉得是个挺好的事情,后来我发现一些师傅存在过度依赖的情况,也许不太利于技术的成长。靶场之所以叫靶场是因为它给出的环境里已知是有漏洞的甚至你都知道这个环境里具体是什么类型漏洞,那么在使用靶场的时候其实没有帮助你培养漏洞发现能力,对漏洞的敏感程度可能也会降低。我觉得靶场应该初期适当使用,如果在整个学习过程中只在靶场去实践,那么实战一定会无从下手。(这里只是希望不要过度依赖靶场,没有靶场无用的意思。)
在一些师傅学习相关原理看完相关案例后,我觉得最好的练习场所就是各个SRC平台或者漏洞响应平台(补天,漏洞盒子),这里大概是最接近实战的地方了。师傅们需要面对的是线上环境,有很多其他人会一起竞争,这是一个具有挑战性的环境,不仅能真正帮助你了解漏洞,也可以锻炼你的漏洞发现能力,在与相关工作人员交流时,也会帮助你锻炼交流能力。
不过到了这里,我也发现了另外一个问题,**有些刚入坑的师傅会有些沉迷提交漏洞换来的物质奖励。**一些刚入坑的师傅在开始熟悉掌握了一些安全技术后会开始不停的刷洞来换取奖励,挣钱无可厚非,但对于刚入坑的师傅来说最重要的应该是不停的学习,拓宽自己的知识面,精进自己的安全技能。只满足于现状而去重复的刷洞,可能会像一个机器人。再多说一句毒鸡汤:可能你重复刷洞挣到的丁点奖金加在一起不如大佬的单个漏洞奖金,但大佬一定不会满足于现状的。
一些技术细节问题
其实大部分师傅面对的大部分技术问题都是可以搜索解决的,所以希望师傅在提问相关技术细节问题时可以先自己动手搜索一下。然后因为相关法律风险问题,所以师傅在问我具体的站点或者目标问题时,我不会给出任何建议和方法的,谢谢理解。
最后
因为时间问题,还有一个_“参与国内的BugBounty遇到瓶颈”_的问题,我会在下一篇文章提出我的观点和建议,也欢迎师傅们转发关注留言,提出新的问题,我会一一回复的。
