beyes 提问: 请问余弦大大,《网络安全法》将于六一儿童节正式发布,里面明确规范了在网络中不能做的事情,特别是第二十七条。渗透测试免不了要实践,我们也不可能去模拟所有的环境,但是如果没有授权还是不能做,我们这些安全爱好者该何去何从。如何在法律的框架内做自己喜欢的事情?
好问题,几个建议:
- 各大 SRC 平台,可以去挖他们的
- 自己搭建靶场环境,其实已经有不少了,回头我们可以整理分享下
- BE EVIL, DON'T BE BAD.
网络安全法不是儿戏,建议大家都关注好这个,这条路一走不好,就真入坑了。
...
...
。东 提问: 暑假会不会有线下培训呢?我是一名大二学生,已经入门了,但我觉得我属于“脚本小子”,了解的杂,但是不精,想系统的学习点东西。
按现在的进度来看,暑假不会有这种形式的线下培训...
...
其中“黑客秘笈:渗透测试实用指南”已出第二版。
...
匿名用户 提问: 弦歌您好,我现在是上交研一的学生,三年前开始玩CTF,参加了几个比赛,但没有同学一起去做,所以坚持了几个月也就放弃了。研究生做的是恶意代码有关的内容,暑假想去重新探索WEB渗透方面的能力,让自己更全面一些。所以想请问弦歌,我现在去参加学校CTF战队培训还是找份实习去安全公司做渗透测试呢?真的很迷茫
CTF 经历过、爽过就行了,没经历过也没事,又不是必须的。大家都想提升技能,CTF 是一种偏实战方式,但又不是唯一实战方式。
我没法判断哪个更适合你,这估计不是选择问题,而是你底气不足问题。
丁晨 提问: 余弦大大,我是一名计算机专业大三学生,已经自学了八九个月的前端了,最近打算实习,想先搞两年前端工作,然后自己抽自己空闲时间学习网络安全,到时候转web前端黑客,或者其他网络安全方面的职业,因为这个才是真正最感兴趣的东西。不知道这条路正确么,还是我应该直接找个安全方面的工作实习,一直走下去,您怎么看。望指点一二,感谢
条条大道通罗马,在发展入门早期不必这么犹豫。
匿名用户 提问: 余弦,你好,我一直有个疑问,困惑了很久,学web攻防需要了解一个请求响应过程在各个部分(浏览器各个层次,服务器的各个层次)的详细解析过程么?如果需要,那需要了解到什么层次?以及了解的途径,能否指明一个方向,自己虽然也挖过一些漏洞,但是觉得自己并没有踏踏实实的明白,望解答,谢谢。
需要,非常详细。
了解途径可以看看我以前的一个回答:
安全技能树简版里的“高效习惯”,其中最后一个是“情报跟进”,里面提到了 Twitter,这个有同学疑问如何操作。
很简单啊,比如:你关注我的 Twitter: @evilcos,看看我关注了谁,都关注一遍不就是了?我关注的基本都是全球安全/黑客圈内挺牛的人。
顺着这个社交关系不断丰富自己的关注列表,你每天最不缺的就是全球安全情报了...
最后,建议英语一定要跟上,不懂的单词或短语,推荐“Google 翻译”,有 App,不被墙。
关于安全技能学习的一点建议:“情报跟进”比如 Twitter 方式,还有不少其他方式,每天都会发现信息量过大,不要过度消耗在这些碎片信息上,知道有这个事就好了,除非是大事,比如一个超级漏洞/事件爆发,那优先级自然会提升到最高。
每天应该合理安排自己的时间,该认真工作就认真工作,业余时间该放松就合理放松,该熬夜就熬夜,年轻人可以多拼,也应该多拼,拼真正的技能沉淀,只有沉淀了这些技能才是你的。
到头来,形成的自己的核心竞争力就是有那么一两项拿手绝活,而不是好像什么都知道,但没一门是真正精通的。
...
https://xuanwulab.github.io/cn/secnews/2017/06/06/index.html
...
匿名用户 提问: 工具黑客,或者说脚本小子,怎样再进一步,感觉遇到了瓶颈
编程提升。
zz小子 提问: 请问如果要自己做一套黑客工具难吗?需要学什么知识。
不难,比如学会 Python,找个顺眼的开源项目(安全技能树里列了很多),依葫芦画瓢,慢慢就会有感觉了。
...
...
罗卜卜卜卜卜卜 提问: 弦哥,我现在基础也有点了,就是不是很牢固。每次测试都是用扫描器扫一下,发现没什么漏洞就无从下手了,该怎么提高啊?谢谢😭
赶紧脱离“扫描器工程师”的身份,了解你有机会接触到的每个漏洞机制,并精通一门保值编程语言。
...
...
匿名用户 提问: 余弦哥好,为了切换职业方向我学了python。加上一直以来对信安方面都比较感兴趣,想问问弦哥基于python入门信安的话是不是一个好的选择?如果想要进一步深入需不需要学习C或C++?
是个好选择,你能力足精力够,C类语言也可以吃透,很保值,精力再够的话,其他保值语言,如:Java、JavaScript、PowerShell、GO 都可以学...
匿名用户 提问: 你好,余弦大大我是今年刚毕业的,一直在关注很多渗透web并且自学,用的那些靶机都是php的,遇到java项目就感觉很欠缺,上传一句话都不知道传啥,没有那种一通则通的感觉,自学了php和python我是不是要把java学一遍,还是有针对java这方面的训练。
Java 很重要,不仅不少重大漏洞和这有关,还有安卓上也是 Java。
建议把历史上所有 Struts 2 的漏洞及 Java 那些反序列化漏洞都复现一遍,自己安装漏洞环境,看那些公开的分析资料,自己复现,会有很大收获。
Evoker 提问: 弦哥,网易云课堂出的web安全培训有必要报名嘛……能帮我参考一下吗
这个吗? Web安全工程师 - 网易云课堂
看去不错呀,其他没法给更多建议。
...
...
匿名用户 提问: Cos哥,网络安全法出来了,不敢搞站了。有什么办法可以实战渗透吗?
如果只是挖漏洞,可以去各大 SRC,还有 HsckerOne;否则不少乙方有安服需求,是授权的,但是一般情况下安服很难玩身真正的渗透。
其他方式不说了。
匿名用户 提问: 现在是一名马上升大二的软件专业学生,在接受cisco CCIE(路由交换)的培训,请问cos大大cisco网络这方面的知识对于做安全有什么帮助吗?(。•́︿•̀。)
有,但是这会是非常基础的培训,可能一时半会感受不到安全的刺激。
...
...
#经验#
有些同学不明白编程在安全中的意义,我特别说下吧。
编程在安全中的意义可以分为两大块来理解:
一.
编程出来的对象有漏洞,如果我们要挖漏洞,肯定要精通目标对象的编程思想、逻辑思想或者说是设计思想、架构思想。有的漏洞是针对具体编程语言,有的是针对整体架构逻辑里的关系,比如业务操作、运维操作等。
知己知彼,你知道目标是如何编程出来的,如何架构运作的,还怕找不到漏洞?
比如挖 XSS 漏洞,如果不精通 JavaScript、不了解浏览器处理机制,绝对是挖不到好洞的。😄
再比如要挖 Web 后端漏洞,比如 Java 的,不精通 Java 机制、相关框架、中间件机制,你告诉我你如何挖到好洞?
二.
比如我精通 Python、JavaScript,我就能在手动挖洞方面自动化起来,还能在漏洞利用上写出相关工具。
就是这两大点。
编程是多少的关键。这也是我为什么说编程很强的人只要稍作引导,绝对可以成为一名“巨黑”。
下次谈谈学习各类编程语言的优势吧。喜欢的点赞。没互动,我不知道大家喜不喜欢。😏
...
...
今天又有人私信问我,我的学习、开发环境怎么搭的。之前这个问题也有人问过我了,我觉得这个问题很难回答。萝卜青菜各有所爱,每个人的开发环境,学习环境都不一样。不过既然这么多人问我了,那我就简单说一下,贴几张图供大家参考好了。首先说下系统,我是习惯用mac系统了,习惯了就改不了了。但是windows系统我也用,但都是在虚拟机里。虚拟机系统,parallel、vmware、virtual box我都用,你问我为什么?强迫症😨mac系统下的开发环境我一般都是jetbrains IDE一套(python、ruby、php、datagrip、intelliJ)+visual code+sublime text3+vim,你问我为啥装这么多?还是强迫症😁,调试的话,如果是脚本类的我就是直接mac系统下的docker+IDE。如果是win相关的(powershell、vc、汇编等),我有专门开发用的win虚拟机。(如附图)。我最常用的虚拟机有6个,4个用于渗透测试用(kali+backbox+parrot+win2008),2个用于开发用(win2008+win xp)。 至于学习环境,这个真的因人而异了。我最常用的,用过mac系统的圈友应该都听说过的,mac系统最好没有之一的Quiver,它非常强大,不仅可以用来收集各种代码(支持上百种语言),还支持多种格式的文章收集。用mac系统的,我强烈推荐一下了。其它的我就不废话了,大家看图学画😌 其实,环境搭建可以参考别人的,但最终还是要根据自己的实际情况、个人喜好去打造属于自己的环境,原样照搬我觉得不可取😁
...
...
#经验#
编程的重要性之 sqlmap 源码
下面这段话我曾经分享过,这里再贴一次。
- 首先你应该搞懂它的架构体系,模块与分层,设计模式等。说白了,你得懂软件工程。
我为什么会在技能表里特别推荐读它的源码,绝不仅它的 SQL 注射能力一流,还因为它的软件工程牛逼到不行。你可以想象下,能打造如此稳定的框架工具已经不是件简单的事。如果你深入下去就会发现里面处处是软件工程那些优秀思想,关于这点比起曾经的 w3af 不知道要牛逼多少倍,后来 w3af 卧薪尝胆搞了次重写,才有现在的地位。
这个软件工程举些具体的点吧,比如并发,如果你连什么是并发,什么是线程、锁、条件、信号、超时、异常等概念都不懂;再复杂点并发里进程、线程、协程的差异是什么;再再复杂点 Python GIL、垃圾回收、性能陷阱;再再再复杂点 Python 那些内置模块、第三方模块的 ugly 点的 hack,看到这些源码你估计会哭死…哦,对了,如果你并不熟 Python,那么那些 Pythonic 的技巧估计也会让你怀疑自己、怀疑世界…
说的题外话:如果你把 sqlmap 当产品来读,还能读出更多东西;如果你把 sqlmap 当作开源社区运作模式来读,又能读出更多东西。如果不是因为它的开源运作、产品、软件工程、SQL 注射的一流,我们也不会持续用它并提交贡献代码与 Bugs 反馈。
正因为这种优秀,你要读的东西可多了,当然难!
- 要吃透 sqlmap,还有一个非常关键的是,熟练 SQL 注射各类技术与技巧,熟练基于 SQL 的后续渗透技巧,sqlmap 支持几乎所有主流数据库的注射。
这又是一大难题。如果你不熟悉,你绝对想不到它为什么那样发包,为什么那样处理…
哦,对了,如果你并不是一名渗透手,你绝对难以思考到为什么 sqlmap 集成了那一堆技巧。
- 虽然有人写了些小而美的工具来比拼 sqlmap 的一些不足,但还是向 sqlmap 致敬,他们在不断改进。
以上是我从事黑客工程化数年经验的一些回馈。不用怕,啃久了自然熟。
最后,./sqlmap.py -h 开启一个纵深知识领域吧:)
...
...
转自 TK 的内部分享“个人成长”,已获授权。供安全新人们参考。
...
...
#经验#
R 厉害,Go 也给力,当然 Python 是世界上最好的语言已经不用再啰嗦了...看这篇文章有意思的统计:
Solidot | Python 是 2017 年第一编程语言
保值语言 C 家族的必须是,Java 是,JavaScript 也是,如果学了 Python 就没必要去学 Ruby 了,第一直觉是 Ruby 会被竞争下去,特别看好的是 Go 语言,可编译,为并发而生,简直太强悍。如果你非得坚持“PHP 是世界上最好的语言”,我反正笑笑,没什么意见,哪敢有意见呀。
好了,这是我的那么点经验与看法,仅供参考。
...
...
Canng 提问: 余大大,好奇问哈。您创业细分领域是做哪块啊?圈子里也没见你怎么分享,其实可以打打广告啥的大伙也可以对接下资源
月底或下月初 Joinsec 品牌上线,其中一个重要业务之前也提过“安全培训”,当时也是因为准备做这个才尝试开这个圈子的。
还有一个更重要的计划估计要明年才对外提,沉淀准备工作比较多,到时候应该会让大家惊讶(希望顺利)。
感谢惦记。😊
...
...
#资源#
编程学习资源之小甲鱼
我的经历: 我是不爱读书的那种,生性放荡,但是那时候我特别喜欢解数学几何题,感觉运用各种定理、知识点去解开几何题,那种成功的感觉很爽快。后来我发现hack跟这个很像。
我刚开始接触hack的时候是在上初中的时候,那个时候就是抄起工具,看着网上的教程,一顿扫,利用现成工具全自动拿shell,就是为了那个快感,很明显不懂原理的话,碰到稍微复杂一点的情况,就直接歇菜了。然后就很沮丧,算了,不搞了!
找到自己的兴趣点: hack相比解几何题,需要的知识点更多,并且需要一定深度,关键是在你没找到你的兴趣点的时候,你去学乏味的代码,让人感觉很枯燥,也就不容易找到你的兴趣点,所以很多人止住在这里了。
我那个时候也一样,并没有深入,直到我工作之后,迫于生活的压力,硬逼着自己去学 tcp和各种网络协议、操作系统、C、php、js、python有了一些基础之后我发现原来当‘’伪黑客‘’时,利用的那些漏洞,原来是这样造成的,我不仅可以用网上提供的方法,我还可以自己根据自己的思路去拿下shell,碰到一些管理员有对一些sql注入漏洞和提权做了一些安全措施的时候,自己也可以去想办法去绕过。这就有点类似我当初的解几何题了,特别在内网渗透方面,熟悉网络知识后,我可以很容易知道目标网络架构和其中的弱点,甚至控制一些网络设备来帮助渗透,交换机、防火墙、甚至控制堡垒机。
好了,我们知道这种兴趣是最重要的,那么如何去寻找这种兴趣呢?就拿开锁来讲,你首先需要了解这种锁的结构和原理吧?
你玩XSS那么,js这个核心魔法,你必须精通才能玩的好吧,你玩逆向,汇编和C、操作系统原理、程序设计,这些你都必须熟练掌握吧?
好了,到今天关于学习方法的问题了,我刚开始是买一本书,硬着头皮去看,看完是没问题,但是感觉都明白,但是又啥都做不了,我就想这种方法,不适合我,我从中不能产生兴奋感,我肯定坚持不下去,那个时候无意中搜到‘小甲鱼‘的编程视频。
- 零基础入门学习C语言(旧版)
- 带你学C带你飞 | 第一季:语法基础(新版)
- 零基础入门学习汇编语言
- 零基础入门学习Delphi
- C++快速入门
- 数据结构和算法
- WIN32汇编语言程序设计
- 零基础入门学习Python
- Windows程序设计(SDK)
- 解密系列
以上是小甲鱼7年来发布的视频教程,作者讲解过程中时不时穿插冷笑话和黄段子,我不知道其它人喜不喜欢,但是我很喜欢这种风格,把复杂的东西讲简单,很适合入门吧,如果需要深入的话就看书,比如python就把 python核心编程好好通读。
目前我的C 和汇编python都是看的他的视频入门的,觉得很轻松,感觉我好像是在给他打广告了,哈哈,但是重要的是,他都是免费的! 我觉得如果你真的是想学点技术,就沉下心来把这些基础打好,然后去寻找自己的hack兴趣点,跟着自己的兴趣来,不要总跟着大神后面讨论前沿的技术,实际上自己也就处于仅仅知道,而不是处于hack阶段。
白某某人 提问: 之前做过一点ios开发,python会一些,php基础看了一些没有项目经验,想学php代码审计应该从何下手?
建议先实际动手做项目,只有做过项目,审计的时候对很多东西才了然于心。至于哪里有做项目的机会,github上太多开源项目了,有一些其实非常基础,比如搭建个人博客平台。最重要的是,坚持下去,不要半途而废。
...
...
匿名用户 提问: 余弦大大,之前咨询过你,以前一直在搞WEB想接触更深的渗透测试,直接买了本Metasploit魔鬼训练营开始干,发现自己对书用的内容不怎么看得懂,主要是那些遇到不同情况对payload 进行修改。我是不是少了些什么储备。开发语言学过python。计算机相关知识,停留在大学的课程水平。我该怎样提升。我想遨游内网。有点迷茫。
把二进制能力入门下,之前圈子内有说过。你还想遨游内网,不多说,你把域控这生态搞懂先(虽然不是什么内网都有微软那套域控)。
其实我这样回答意义不大,这类问题圈子好多,多说一句吧:黑客超能力之所以那么令人神往,是因为这确实不是件容易的事。我敢这样去说,那是我都玩了多少年了...
好好沉淀吧。
...
...
yann.y 提问: 余大,请问怎样才是提高渗透实战水平的正确方向?参加了不少 CTF 感觉没有可见的提升。正在准备渗透学校的内网。
如果不是未来准备把 CTF 当职业,玩玩就好,可能遇到的实战场景会很不一样。
渗透水平提升有个关键点:那些基础技能的提升,比如如果你对 Windows 那些安全机制不了解,如何愉快渗透?谁真正了解这些?其实很多不是玩安全的,而是那些在做深度运维的人。
举个非常简单的例子,NTLM Hash 拿到后如何进入下一步?大多数所谓的渗透师其实是不知道的,或只知道个常规套路。基本功不牢,真遇到问题了,别说不知道怎么解决,是连“这是个问题”都不知道。
别说 Windows,渗透要面对的场景太多了,如何快速掌握新知识?没不断的积累的基础功,没不断发散的视野,还谈什么渗透?不是日个站,拿个已知漏洞,架个扫描器什么的就是搞渗透了。
你说我丢你一个 XSS 算不算渗透,XSS 在你那你顶多拿个 Cookies,在我这,我能持久控你主机,这就是差距,什么的差距,基础功呀。
其实本圈历史上发过不少基础功的东西,有没有真的认真去跟进、深入?
不多说了,你渗透学校内网这事还是悠着点,急了,学校报警抓人哦。
其实,很多东西吧,也没那么难,门道而已。
...
果然还是基本功的问题,的确经常就是拿到一个入口的洞之后就没什么思路了,尤其是涉及到持久化。
刚好最近也在补协议和运维的基础。运维只知道个大概,没有机会实战,不知道自己搭环境来实操运维可不可行?(感觉不太现实)
...
#经验#
最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议。首先做个自我介绍:
常用ID: myh0st
个人博客: 信安之路
学习工作经历: 90sec论坛元老(曾经的管理员)、微信公众号【信安之路】创始人、CISP-PTE(注册渗透测试工程师认证)考试命题专家组成员
我能回答的问题: 渗透测试相关问题(当然回答的不一定好,肯定比不上弦哥)、关于CISP-PTE认证的相关问题等
兴趣爱好: 热爱技术学习、分享、交流,喜欢交朋友,感谢弦哥的新人邀请我做嘉宾,我会尽我所能帮助圈子里的小伙伴提升自己的技术实力,在信安之路上前行不在孤单。
分享文件:
...
...
#经验#
在双十一大家都在购物的时候,我们在圈子里做了一个分享活动,这是几位小伙伴的学习经验分享,希望能对圈子里的同学有所帮助。
分享文件:
#经验#
安全是这个世界不可缺少的一项指标,这个世道每个人都在上网,互联网成了一个新玩意,当所有人都在上网的时候,充当创造者的又是谁,为浏览者保驾护航的又是谁,每一个职业都有不同的观念。
什么是渗透?我记得以前看过一本书,扉页就写了那么一句话:
何为渗透?鼓其勇,练其力,心要决、耐、细,往你欲之地,取你望之物,所谓渗透之道。
#资源#
为了方便大家分类阅读,找自己需要的文章查看,专门对文章做了分类整理,看着舒服,学起来也有劲不是吗?
🍊 提问: 弦哥你好,我是一名运维开发,一直觉着运维开发和web所学技能有不少重叠部分,如果转型的话是否比较顺利?
转型不是最重要,而是完善你的技能树,也许有一天你会发现,你现在的运维经验会让你渗透起来更愉快。
匿名用户 提问: 为什么离开创宇这个平台,选择独立发展? 能说下创业方面的心酸和成就感吗? 或许以后对一些可能安全创业的人非常有借鉴。 毕竟你在创宇也呆了九年了。
虽然我离开创业9年的知道创宇,不过还是有很多紧密的联系,说不定年底或明年初会有另一个重要消息公布。
离开,主要是我内心想独立做些事,实现些想法,我想给自己一个更残酷的挑战,独立创业确实很残酷。
另外,比起北京,厦门是我更想留下生活的城市,离开家乡太多年,回来感觉很好。生活平衡稳定后,我才能全力以赴干事业。
创业后,最明显的感觉是失眠严重,我已经有一个小团队,每月每天都是开销,现金流是一个公司的命脉。不过现在最大的忧愁并不是这个,而是方向,创业过程,方向不是一成不变,而是不断修正。
每一个创业者,都想仰望星空,但还有另一个同样重要的是:脚踏实地。
我认为我还年轻,经历可以更丰富些,我身边有许多支持者,如我的妻子、我的家人、我的朋友、我的前战友、我的现战友、以及许多关注我的人。
人生苦短,得留下点什么,我早做好失败彻底的心理准备,大不了再次起航。
这段文字发自正在厦门跨海大桥的车上。
...
...
匿名用户 提问: 我想换份工作,现在三十出头,有一点基础,干这行的话掌握的技能和对应的工资是多少呢?对自己没信心,所以,麻烦举几个例子,好对照看看自己还能不能做到。
嗯,我就举例个典型的安全研究员吧,供参考:
帝都这样的一线城市,本科应届毕业生,比较优秀的,进乙方公司的话,平均可以接近1万月薪。
这类比较优秀的,掌握技能,对标如我前面发的“知道创宇研发技能表”,差不多处于毫不畏惧,有几项熟练实战的技能,挖漏洞、做研发敢想敢干,能独立挖到还不错的 0day,能独立完整研发相关利用工具,虽然会挺有挑战,但是往往敢攻克、能攻克。
注意:这是帝都的消费标准下,乙方安全研究员的一种侧写。
你可以参考并做适当换算。
更多情况,我建议其他人可以评论说说,方便大家一同参考。
匿名用户 提问: 能和余弦大牛交流的机会非常宝贵,感谢余弦提供这么一个圈子。 我想请教一下,对于中高级的渗透测试人员,在面试时应该问什么问题,或者从什么方面来评价候选人员的能力,技术水平。
- 问内网渗透实战经验,比如如何持久化,回连、数据回传如何做,这类
- 问挖过什么重要 0day 及编写过什么不错的利用
- 问如何看待落马七步杀
😏
...
...
匿名用户 提问: 余弦大哥你好,我是一名PHP程序员,我对渗透和网络安全有浓厚的兴趣,平时也有关注安全领悟的文章和挖掘漏洞(基本挖不倒),打算以后从业网络安全的工作但我觉得目前的工作水平还尚未提高,高不成低不就的。我现在是否只专注网络安全的技术,还是一边提升现在的工作和网络安全技术?
不要放弃自己的核心竞争力,PHP 强的话,做这方面漏洞审计会是你的优势。而且精通一门编程语言,对于挖其他语言的漏洞也是有好处的,很多思想的通的。
你看我发布的那个安全技能树简版,这些技能我们都是并行掌握,互相补充。
一个被和谐又恢复了的回答:国内信息安全行业真的很有前途,职位空缺很大吗?
...
...
匿名用户 提问: 余弦大大好,我是一名大四的学生马上就要毕业了,大四期间在一家安全公司做了差不多一年的实习,web安全方向,感觉技术上提升不是很大,感觉自己技术还是不行,但思想开拓了不少,对于像我这样的要进入社会的您有什么意见?顺便问一下,您的团队还招人吗?招人的话有什么要求?
如果你能坚定未来5年想成为的角色,比如 Web 安全真的就是你最喜欢的?你会为了一个漏洞彻夜调试?你会为了一个漏洞牺牲整个周末十一长假过年长假,就为了吃透这个漏洞?
先回答这些问题,再问,否则我又不是你,不知道你真正的内心是如何的,对吧?
我团队暂无招人计划,如果有也是要符合我发布的那份安全技能树的至少50%感觉吧,不过也不一定,如果招非技术岗位,那就不用这样了...
匿名用户 提问: 大大,请问做安全是适合大四直接去实习还是适合考研呢?
这个问题关键看你。
...
...
匿名用户 提问: 本科毕业后进入某大型互联网公司作为安全开发几年了。渐渐发现日常的工作已经完全没法提高自己。现在搞不清自己的职业规划,也感觉目前没法找到一个可以长期发展的安全方向。请问能否提供下一般安全研发的发展方向,以及是安全上未来有哪些靠谱的方向?谢谢哈
安全技能树我感觉值得你参考下。至于未来靠谱方向:
云安全、大数据安全、移动安全、AI 安全、物联网安全、网络空间安全、...
其实我们可以先看哪个行业起来了,安全是附属品,也会跟着起来。
...
...
掉到鱼缸里的猫 提问: 余弦大大,我想问一下您觉得ctf的练习,在整个学习过程中应该放在一个什么样的位置? 我现在大二,身边好多同学都狂热于ctf,但是我看技能树和其他一些安全和渗透方面的资料和教程,感觉和ctf的差别很大,和同学一起也做过一些ctf的题,感觉很浮躁,机制只是浅尝辄止就要做下一道了,感觉收获的并不是很多。
如果未来想把 CTF 当作职业,那就一直玩不断玩,毕竟是职业。
如果不是把 CTF 当职业,玩几场还是有意义的,能拿个好名次更好了,几年前我带队伍去打了场,团队拿了个冠军,小伙们因为打这个突击沉淀了不少好技能。而更早年还没 CTF 概念,我们玩的是黑客过关挑战,也挺有意思。但毕竟不是职业,玩玩就够了,因为我们得把绝大部分精力放到能成为我们职业的东西上。
所以这个问题的关键点是,你先把哪个细分领域作为职业。看看网上各大安全公司的招聘就知道,安全领域的职业还是好些的。
顺便提一个,比如有人因为 CTF 拿了某比赛的世界冠军,不代表他就是第一黑客,因为细分领域实在太多,只能说他至少是 CTF 这个职业领域里的佼佼者。
匿名用户 提问: 请问 在安全相关的公司工作平时都会干些什么呢,比如web安全,不会总是在挖漏洞吧?
得看你从事具体什么岗位,比如 Web 安全,是做漏洞研究,还是相关安全产品研发。如果是漏洞研究,那每天主要任务就是漏洞分析、挖掘、PoC/Exp 编写,漏洞爆发了赶紧第一时间应急出上诉内容。
ENegatiVY 提问: web安全和渗透测试的区别在哪里?感觉渗透测试包括了通过web进行渗透。暑假要去实习,但是不知道怎么在这两个里面选。个人更倾向于渗透,但是不知自己的理解对不对
我们那份技能树里,你看看渗透测试,就知道Web安全只是它的一个子集。
其实大多数公司的渗透测试都太浅,有的只能称为:扫描器工程师,因为这类人基本只会用扫描器。
...
...
匿名用户 提问: 余弦你好,我在体制内工作近十年,从事运维岗,日常windows打补丁,linux改配置,路由也管过,网站也调过,有C编程基础。想离开体制,投身信息安全。本科研究生都是安全相关的,但工作的稳定带来的是,技术老化不进步,依赖工具。真的想离开,做自己想做的,又怕出去了,外面根本不是我想象中的。真诚请教三个问题:1.年龄是不是一个门槛,看到许多招聘都是3到5年经验的。2.从技术转销售,或者技术支持,是否可行?3.以你的经验,35岁的安全人应该怎么发展?谢谢
理解你的心情,做这行,30 岁就算是一个坎,而立之年,成家立业。如果技术想不被淘汰,这个年龄的人回头看看自己的技术是否真的不错,未来是否还能再干 10 年技术。
否则,很多人还是会转型,做更合适的职业,但是很多人忽略一点以为技术有沉淀了,说转销售或技术支持就转,殊不知每个职业都有自己的“技术”,比如优秀的销售,你去看看问问那些做销售 10 年的,他们如何沉淀销售技能的,他们如何给一个企业一个团队带来稳定合作的。销售做不好,前得罪客户,后得罪一帮产品技术,双方都会骂销售不靠谱,这个即使跳槽了,圈内口碑是会传播的。
所以,这样看来想做好,没有什么职业是简单的,都是需要很多年的沉淀。
最关键的是认清自己,多和身边的优秀人碰撞,也可以尝试尝试。35 岁其实正处于男人魅力大爆发年纪阶段。加油。
匿名用户 提问: 请教余弦大牛,我毕业后一直在家上班,主要技能是Web渗透(某二线城市)。接一线公司外包的合法渗透项目,工作自由,没有工作压力,老板人好。拿固定月薪,项目完成有1~2K提成提成,毕业后开始五年前从3K慢慢做,到现在12K。没有甲乙方公司工作经验。请问这个收入在圈内如何,还有几年就到而立之年,自感学习能力竞争力已经落后新人,很困惑,不知还能否跳槽,在考虑是否要转安全开发或者安全运维岗位。希望不吝赐教。
你可以这样参考下:一线(如北京),优秀的本科应届毕业生进入乙方(你也是在乙方),月薪 10K 起,这个不仅看是否优秀,还得看如下几个因素:
- 这个岗位带来的价值多大
- 公司的营收情况如何
很难简单根据一个人是否优秀来判断他当下收入的,更不可能简单从工作年限来判断一个人的收入。说个很实际的情况,你拿多少收入得看你给企业带去多大的价值,这是上面说的第1点,而如果一个企业发展不好(对应上面说的第2点),也很难给你对等的报酬。对于第2点,如果你觉得这个企业长远来说有前途(或者钱途),那么短期几年不用太在意这些得失。因为一个人拿到的不仅是显现的钱,还有隐性的东西,比如发展。
根据你描述的情况来看,你在家办公,无工作压力,工作5年,现在 12K 月薪。你可以这样算一下呀,如果你在一线城市,且要租房,工作压力很大,那如果是这种状况是拿多少工资?
- 一线城市 + 25%
- 租房与路费 + 15%
- 工作压力 + 20%
这里你得加个 60% 至少,那么如果你在北京这样的一线,此时月薪可以拿到差不多:20 K。工作5年,在北京这个高压的环境,拿到这个数谈不上出众,但也还可以。还不说你有提成拿,我觉得你的老板人确实良心。这个数,仅仅是通过这个简单公式来计算,还没考虑到上面说的那两点。
现在工资来看,好像还行,那么关键问题来了,是否继续这样工作下去:没压力,一直待家里。
没压力是很可怕的一件事,你也感受到了,现在越来越多新人冒出来,可能你的工作分分钟就能被替代掉。还有一直待在家里,远程办公,如果没一个好氛围,这个也很危险,未来几年你的职场能力会被弱化到最低。
跳不跳槽看你自己,在自己还不够牛的时候,找个有压力的好平台当然是最好的,还没到而立之年,并不算迟,即使而立,也有机会。强烈建议你和你觉得不错的这个老板深入聊聊,没什么问题是一次坦然聊天解决不了的,如果有,那么再请吃一顿小龙虾。毕竟你拿 3K 工资开始,服务了5年,这很难得。
希望你走出你的困惑。也希望你把我的这个回答认真看几遍,为了回答好这个问题,我琢磨了很久。
匿名用户 提问: 最近要开始找工作了,研究生一枚,从0开始学习web安全差不多两年多一点,想问问互联网公司,金融行业,创业型公司,以及传统安全厂商,非互联网公司之间如何做出抉择。特别是传统安全厂商,这一两年传统安全厂商感觉面临着不小的挑战。毕竟,这个这个行业可能算是我接下来10多年甚至20年都会做下去的方向,请余弦大大百忙之中能够解惑一下
既然都计划做 10-20 年了,那么乙方(尤其是传统安全厂商)可以待个 3-5 年,甲方大厂的安全部门也可以待个 3-5 年。(不是非得这样)
3-5 年是建议最小的周期,如果这都没待满,那么总会各种原因,首先多看看自己的原因。如果发展好可以继续着,比如我刚本科毕业就进入知道创宇,做了 9 年,今年正式出来,出来时有不少好机会,最终我是选了自己创业这条路。
3-5 一周期(最小周期),很多东西就可以沉淀下来了,不用我说更多。
我需要特别说的一个点是:“如果安全是兴趣,但不一定会成为终身职业。”那么建议,在安全公司或安全部门发展的同时,不要限制了自己的朋友圈,不要有“技术为王”、“黑客最屌”这种思维。
最后,这个安全大生态是包容的,不要听风就是雨,传统安全也好,所谓下一代安全也好,都有自己的生存之道,没谁比谁有优越感。都是聪明人,以我们的努力程度,还不到要比天赋的时候。
所以啊,最终怎么选,不仅看你,还看那些实力团队要不要你,机会来了,把握就是了。
...
...
Canng 提问: 安全人员的职业发展怎么样比较好呢?在甲方的话不产生收益,地位发展可能不如开发人员。不知道路该怎么走呀!求大大解惑
怎么发展,这个每个人可不一定,当你开始思考这个问题后,会慢慢知道的...
不过话说回来,地位这个问题天时地利人和三因素都有,最关键还是个人能力提升,如果地利不满足,跳槽到满足的就好,个人能力不足,别说地位,就连跳槽合适的目的地都不一定能找到。
聚焦到个人身上的话,建议安全人员不要只沉迷在所谓的黑客技术上,太窄。我们一直提倡黑客工程化,是觉得我们认为的黑客应该具备工程化全方面能力,可以自由创造价值。创造力是黑客必备基础能力。黑客工程化要求黑客不仅会黑,还会编程开发,还会懂商业之道,运作出价值。如果打通这个,地位如何提升不了?
这也是为什么之前我会不断公布我的安全技能树(技能表)的原因,估计很多人已经不知道里面在讲些什么了...
...
...
#基础#
学习安全的最终目的是为了有一份工作,找工作最关键的是技术面试,从面试题目中获取技术学习的重点知识,用面试题目指导学习是一个非常不错的出发点,分享一篇文章,是一个小伙伴收集整理github上公开的面试题目,然后总结的一个学习指导文章,供大家参考,
#经验#
最近有个想法,在我们这个信息安全的圈子里,渗透测试仅仅是安全中的一个很小的分支,虽说这个圈子的缺口很大,但是为什么一直补不上这个缺口呢?
原因可能有两点,一个是高校每年培养的安全人才很少不到一万,其中走渗透测试的更少了,还有一点就是大家对这个圈子不熟悉,想了解没有门路,想学习无从下手。
我在想,我们怎么样扩大我们这个圈子,让更多的人加入我们这个圈子,促使我们这个圈子处于一个良性循环的道路。
想要解决这个问题,我们应该从入行开始说起,所以我就在我们的交流群发起了一个活动,谈谈你进入信息安全这个圈子的原因是什么?
圈子里有想要分享你的入坑经历的可以联系我,或者直接加我微信 myh0st,随后会在公众号分享。
...
了解了源代码,发现了移动注释掉的宽带业务,现在套餐也能自己改了。
了解了社工,一个网站一个密码,密码很长时间没被盗过了。
了解了抓包,知道了机房有个叫行为管理系统任子行的东西,上班再也没乱看小电影,到现在还没被开除。
学了后门,没在乱下过软件,当初电脑鼠标自己动把我吓坏了。
这是我学习的动力吧。
[机智]一直很佩服余大,记得从14年就在网站上看到余大渗透360摄像头的新闻,现在想想还ip定位了记者,偷笑。当时真的觉得真的帅爆了。
唉 一个刚毕业的小网工,希望能走上安全的路。
...
匿名用户 提问: 老大,我是一名大一专科生,想问一下大学两年是努力去考证书,还是学熟悉几门语言?证书有些可以考的?主要想走网络攻防这方面方向,还望指点一下如何去计划学习。
我就没见过实战派高手需要这些绝大多数都是花架子的证书。踏实打好基础是关键。其他问题可以见本圈历史上的问答。
...
