大家好,我是 B1aK2。在经过一定时间的积累后终于达成了平台的 300 分成就。在此分享自己学习过程中个人的经历。
不知道大家在高中时怎么想,我那时已经确定了目标,要做软件开发相关的工作,高考时,有幸考入了常乐村男子职业技术学院(戏称,成都信息工程大学),被调配到了信息对抗专业,从此开启了我的大学生活。
由于刚上大学,还保留有高中时的冲劲,在自己的努力下,成功从信息对抗专业转入了信息安全,因为学校设有信息安全实验班,面向全校招生,只要你能通过考核,无论原来是哪个专业都可以转入信息安全。
开始学习信息安全的时候,面临未来方向的选择,做安全还是做开发?是我最为纠结的部分,因为一直摇摆不定,让自己有了退路,一旦在一个方向上遇到挫折,然后就去另外一个方向寻找慰藉,这是一种非常低效的学习方法。
因为大四通常是实习的时间,所有最有效的学习时间只有三年,从大一到大三,然后大二大三两年时间,转瞬即逝,自己没有有效脱离课本上的知识,积累实战经验,无论是寻求开发工作还是安全工作,都未能如愿,虽然自学过 Golang 开发,但是也未能达到招聘需求。
最后还是决定踏实学习信息安全技术,找一份信息安全相关的工作。幸运的是,我凭借课堂上踏实的学习,有幸获得了一份实习,但是由于 2020 年新冠疫情的出现,自己成了一个被裁之人,无奈自己成了一个失业的人,不知未来路在何方。
经历了种种不顺,我心也有不甘,真的就这么一无是处吗?真的就一份工作都找不到吗?虽然现在达不到招聘需求,但是只要努力,一定可以找到一份好工作,经过室友的指点,开始努力学习信息安全知识。
风卷残云般的快速练习了如 DVWA、xss-lab、sql-lab、upload-lab 等多个靶场之后,又一次失去了目标,这一次,我把目标定在打 CTF 上,回头来看,这个选择也并不明智。居家练习了两个多月的 CTF,最后找了一份与安全无关的实习工作。
在练习 CTF 的过程中,经历了非常多的挫败,从而让自己的越来越怀疑自己的能力,期间也萌生过要不要找家里花钱在网上参加信息安全从业培训的想法,便想着找份实习工作换个环境换个心态来帮助自己打破现状。但是最终还是选择了自学。
自学主要还是依赖互联网上的知识分享,通过学习别人的漏洞复现文章,跟着尝试操作复现,然后再尝试漏洞挖掘,在这个过程中,大量的阅读公众号的文章,无意中发现了信安之路的成长平台。
注册信安之路的成长平台,需要加入知识星球,然而,当时的价格对我来说是比较高的,虽然难以接受,但是经过仔细思考之后还是选择加入了知识星球,同时也注册了成长平台。
任务驱动型的学习方式对于我这种不能及时明确信息安全学习方向的人来说有着极大的益处。而环境搭建上的任务也让自己脱离了 phpstudy,在 linux 上手动安装 php 环境。期间由于自己理解上出现了偏差,各个组件均是通过编译安装,虽然这是个乌龙事件,但也提升了自己在 linux 上的使用熟练度。
由于实习的事务并不繁忙,基于自己不服气与些许的自我厌恶,自己便在学习的过程中坚持了下来。虽然平台上 Web 安全的内容大部分自己都是之前学习过的,但是并没有完整且深入的学习,并不知道自己学的怎么样,一看全都懂,一动手操作就各种问题。
之前的学习中,更关注造成漏洞的原因和怎么利用,对于各个组件之间的关系知之甚少,通过平台的学习,让自己并不只关注漏洞细节,而是从整体上思考安全问题,很多因为安全意识导致的漏洞,并非代码问题,而是环境问题。
通过思维的转变,帮助自己理清漏洞从客户端-网络-服务器(-客户端)的具体数据传输过程、在服务器组件之间的传递过程,了解数据在网络、服务器中的具体流向。这样才能更有针对性的进行过滤和防御。
在这个学习的过程中,也找到了想要的工作,同时也达到了 300 分的成就,一切都是最好的安排,庆幸自己遇到了一个适合自己自学的平台。
简单的讲述完自己安全的经历之后,也在此定下自己下一阶段的目标。完成平台上红队技术的同时,提高自己实战的能力,将自己在之前学习的 web 安全基础同实际环境结合起来,提高自己漏洞挖掘、渗透测试的能力。并且在此期间接触一些靶场,练习绕过等特殊技巧提升自己思维活跃程度、加深自己对各种机制运行的理解。