V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
echome
V2EX  ›  信息安全

大哥们学习信息安全出现过这样的问题吗?

  •  1
     
  •   echome · 2021-03-17 00:38:06 +08:00 · 3832 次点击
    这是一个创建于 1346 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有时候就感觉要学的东西又很多,但是很多东西如果学了又没有用就会忘记,导致好像花了很多时间学习但是其实没有什么效果的情况出现。
    第 1 条附言  ·  2021-03-17 22:53:58 +08:00
    说说背景,小弟应届工作半年,在某所谓的移动互联网公司。觉得工作没有什么成长,一天主要找一些安全方面的漏洞 [如安全配置错误的,供应商软件的一些 bug 漏洞,非二进制非 web 安全] ,写一些后台,根本没有沉淀下来自己的技术。
    所以小弟想跑路了。
    小弟先面试了字节
    字节的一来做算法题我就知道面的组不对了,后面一问是做 waf 的,我的能力是在内网和安全建设方面的。

    然后问 xss,xss 是小弟 19 年做安服的时候学习的东西了,一些简单的基础还会,深入一点就啥也不会了。 问防御,我说实体编码和 csp,又问 csp 的实现原理,我说是配置啥的,他说实现原理,我就不会了。

    又问到 ssrf 的 getshell,明明这个我大概四五个月还做过,可当时一紧张只能说出任意文件写入 ssh key,定时任务之类的还有主从复制。(其实也是差不多了,只是主从复制没有说 redis 4.x )

    然后就挂了,找朋友内推到内网安全相关的组,别人一看一面评价太差了,,,,就没面我

    就很难过了。。。。。。。
    ------------------------------------------------------------------------------------------
    q1:大晚上想起这件事,我就想问 如何学习信息安全?,因为 信息安全所学的知识真的是太多了,然后很多时候是当时有用,学了做了笔记,但是一段时间没有碰就基本不会了,(用不到也不会想着去翻笔记的)。。
    想起以前研究过的 libc 2.26 jmp esp 逆向 house of orange 之类的。。。。。就真的啥也记不起来 。。。

    -----------------------------------------------------------------------------------------------
    q2:最近又想研究一些新的东西,比如 windows 当中的几个 potato 的原理。但是一旦产生这样想要研究的念头之后,脑袋里面就有一个念头在问自己:研究这个现在有用吗?用的上吗?目的是什么?会不会造成学了之后就忘了的情况?所以就很纠结。。。。。。。

    学还是不学,抱着目的学还是不抱着目的学?学某个技术到什么深度?

    ---------------------------------------------------------------------------------------------------------
    q3:看到评论区里面有大哥说强调深度,注意广度,那么什么是应该选择深度的地方这也是一个问题?
    我见过内网渗透牛逼的大哥连 python 脚本缺一个 requests 都不知道怎么安装。
    见过 sdl 一套,web 安全监测熟悉的不行高工连 linux 脚本都不会敲。
    如何选择深入的地方,是自己的爱好,未来的前途都是问题?是选择危害非常大很难学习的二进制漏洞研究还是 学习企业最需要的安全建设人才 还是学习 以后肯定有前途的人工智能安全和 iot 安全 这些都是问题所在。



    最后 初入社会,十分迷茫,感谢论坛里前辈们的指点!
    第 2 条附言  ·  2021-03-18 22:55:42 +08:00
    回想当初大学里面进了 batm 的同学,大多数都是精通于一个方向点,而不是广泛了解。
    而当时的自己却没意识到这一点,在很多的方面都有所涉及,当时是想做一个什么都会的人,可惜行不通,毕业之后的这次面试和这篇帖子让我知道了以后怎么去行动。

    信息安全所涉及的方方面面过于多 二进制 web 安全建设 开发 sdl 网络 运维 。
    劝入行的新人早一点了解自己以后需要精通那个方面,然后只学这个东西,记住是只学,在没有学到精通的时候 学到其他的下意识排斥。
    我见过 python 签到脚本都不会写的大学生照样前端进阿里
    见过一点不会二进制的人 照样 web 安全精通进乙方研究院

    我这样啥都会一点,啥都不精通的人真的在就业市场很吃亏,或许小公司正需要,但是小公司一般来说 是没有什么钱途的,各位共勉!
    24 条回复    2021-04-06 20:21:37 +08:00
    ElmerZhang
        1
    ElmerZhang  
       2021-03-17 00:46:52 +08:00   ❤️ 1
    信息安全专业的学生?
    大学学东西都这样,忘得快。最后脑子里有个印象就可以了,将来用到的时候知道有这么个东西,知道该学什么。
    ZeawinL
        2
    ZeawinL  
       2021-03-17 01:35:20 +08:00 via Android
    所以要学会记笔记
    DoctorCat
        3
    DoctorCat  
       2021-03-17 02:10:06 +08:00
    记忆力不好这事儿跟信息安全,有啥关系。。。
    ETiV
        4
    ETiV  
       2021-03-17 06:42:52 +08:00 via iPhone   ❤️ 1
    试试六个核桃?

    要还是不管用,就加大剂量:七个核桃、八个核桃、九个核桃
    webshe11
        5
    webshe11  
       2021-03-17 06:52:23 +08:00   ❤️ 1
    记电子笔记,需要用的时候能 30 秒钟理解并复制粘贴
    huruwo
        6
    huruwo  
       2021-03-17 09:04:31 +08:00   ❤️ 1
    笔记 用到的时候翻翻就行 这种东西就是经验和思路的问题
    xiaomimei
        7
    xiaomimei  
       2021-03-17 09:05:06 +08:00 via Android
    整理自己的 wiki
    feng12345
        8
    feng12345  
       2021-03-17 09:06:58 +08:00   ❤️ 1
    就是留个映象,知道这是如何发生的。信息安全还是要靠实操,代码能力非常重要。当然,这行也看天赋,越脑洞大开的人能力越强
    hxndg
        9
    hxndg  
       2021-03-17 09:15:27 +08:00   ❤️ 1
    我本科和研究生也是信息安全专业,
    然后我 17 年也出现过你这个问题
    https://v2ex.com/t/354692
    lupus721
        10
    lupus721  
       2021-03-17 09:50:46 +08:00   ❤️ 2
    万金油的答案之一,一专多能。你需要有一个专精方向,这个方向需要非常精,这是你最有利的武器,第二就是多能,一定要多看,你不论在服务自己的公司,还是给别人做服务,都可能看到无数的东西,遇到无数的问题,自己知道学习的越多心理的底气就越足,时刻保持谦虚,时刻保持学习,除了极少数天才,绝大多数人都是需要不断的重复来加深印象的。

    尤其是在学校学习的东西,大多数时候你可能根本用不上,但是尽量不要让自己存在盲区,在遇到的时候多少有个方向就比没有强。

    补充:如果确实想做安全,面面试,找找大厂的安全聊聊天,看看他们需要什么样子的人。
    GeruzoniAnsasu
        11
    GeruzoniAnsasu  
       2021-03-17 10:02:00 +08:00   ❤️ 1
    所以要学能用得上的东西=。=

    哪怕你用它的目的是打 CTF 、是写轮子、是给母校 IT 带去温暖(

    用得多了就擅长了,擅长之后自然能用它做些有意义的事
    hanssx
        12
    hanssx  
       2021-03-17 10:02:33 +08:00   ❤️ 1
    一定要专精,精而悟道。就拿代码审计来说,你说语言那么多,很少有人能把所有语言的代码审计做得很好吧,可能都是精而悟道。
    注重方法,比如代码审计的时候可能先了解系统有哪些功能,阅读官方文档。
    记笔记,好记性不如烂笔头。
    深扎,别三天打鱼两天晒网。
    兴趣是最好的老师。
    sggggy
        13
    sggggy  
       2021-03-17 10:57:29 +08:00   ❤️ 1
    前段时间学习社工,书里写了如何在不用技术手段的前提下,尝试获取一些关键信息,其中一个行动方式是去翻垃圾桶。趁着中午晚上去翻厂里的垃圾桶,把有信息的东西全先拿走装袋子里,回到家里慢慢分析。

    好家伙真是出道既巅峰,麦当劳外卖单上的敏感信息,比如手机号都没有****加密掉中间项,基本拿到姓名+手机号,还有外卖号;兄弟厂的快递也是把寄件人收件人的信息全部明文;外卖厂的还可以,关键信息都加密了基本没法社工,但没事找事在单子最后附加了二维码,稍微用点心思,贴个假二维码上去说不定就有人扫。

    最刺激的是拿到有同学丢掉的报考信息,里面所有敏感信息全部都非常清晰的记录了,这类信息按道理是需要在公司用碎纸机碎掉的,附带的还有一本工作日志本,里面记录了工作计划,个人每日计划等信息。

    练习结束后,把所有收集到的信息全部碎纸机销毁,同时想办法做一些厂子里的选传科普,比如路上捡到的 U 盘不要随便就插电脑上,首先交给 IT 部门的同事;带有关键信息的资料,厂子几处有碎纸机,可以销毁掉,不要直接丢垃圾箱。

    关键是需要刻意练习,很多事情学了如果没用就会遗忘,之前在学习急救 CPR 的时候,老师也说过一般这个技能 6 个月不练,就全忘光了。
    lengyihan
        14
    lengyihan  
       2021-03-17 11:06:01 +08:00 via Android
    一楼正解。学个印象就好了,实践中去融会贯通。
    aino
        15
    aino  
       2021-03-17 11:13:36 +08:00
    得实战
    echome
        16
    echome  
    OP
       2021-03-17 21:17:21 +08:00
    @ElmerZhang 已经不是学生了现在已经毕业半年了,学习安全已经陆陆续续四年了。
    ElmerZhang
        17
    ElmerZhang  
       2021-03-17 23:12:53 +08:00
    我不是专业做安全的,对安全只懂一点,但是看你的面试过程,也能看出来你是什么都会一点,但什么都不精。
    想提升,就找一个细化方向往深了去学。应该学到什么深度?深度无极限,至少几年内你是看不到极限的。
    在越学越深的过程中,你自然会接触到其他一些需要学习的东西,广度会自然扩展开来。
    而且技术都是有共通点的,只要你把其中某一种真的搞精通了,其他的再学起来就快了,“触类旁通”嘛。
    总之不管你学什么,挑一样,学精了,高薪工作肯定没问题。
    举个例子,假如你是个开工程车的,什么吊车、挖掘机、装载车啥的都会开,但仅限于让它们动起来,另一个人只会开挖掘机,连车都不会开,但人家能用挖掘机拿鸡蛋。你觉得你们谁更好找工作?
    上学时看短板,工作后看长板。
    tianzi123
        18
    tianzi123  
       2021-03-18 05:37:31 +08:00
    @sggggy 哪本教程?欺骗的艺术? 我也喜欢玩社工
    lupus721
        19
    lupus721  
       2021-03-18 09:30:28 +08:00
    专精尽量选自己喜好的方向,不然会很难熬也不容易做好。当然难度越高的方向,相当于护城河就越高。

    这点我就选错了,,以前带过一个小弟,本来做游戏开发的,但是喜欢安全,问我有啥建议,他说他对程序的内部构造感兴趣,那就二进制吧。

    开始 我以为我随便说说,但人家真是真刀真枪的学起来,做起来了,三年后,我还是碌碌无为,人家已经好几个 CVE 了。。

    另一小故事,某大牛,学历不行,但天赋惊人,同样几十个目标他能第一时间选出最可能出问题的,偶尔一次选对做出东西也就罢了,他正确率超四分之三,问为啥,无他,就是感觉,这种大概属于老天爷赏饭的。。。。
    sggggy
        20
    sggggy  
       2021-03-18 09:56:59 +08:00
    @tianzi123 《社会工程 安全体系中的人性漏洞》注意副标题是——安全体系中的人性漏洞,这本。
    echome
        21
    echome  
    OP
       2021-03-18 22:49:33 +08:00
    @lupus721 这样的人也是牛逼,极少数的存在了,一个是兴趣一个是确实实力强

    @ElmerZhang 谢谢前辈指点,感受颇多,已经在开始构思学习什么进行精通了
    onice
        22
    onice  
       2021-03-31 10:03:03 +08:00   ❤️ 1
    出现这个问题,是因为你学的东西都是孤立的知识点。就跟背英语单词一样,孤立的单词没有上下文,很容易忘记。
    要解决这个问题,建议你直接干 ctf,或者是找靶场直接搞。先自己思考,然后再看答案。如果答案中的知识点都会,应该思考自己为什么没有运用起来。如果有知识点不会,就立马学习。
    安全技术应该在实战中学习,并且每一个环节都是一环扣一环的。当孤立的知识点有了上下文,在完整的攻击链中学习技术,是很难忘记的。
    关于深度和广度,应该追求深度。这个社会是细化分工的社会,你只有在某个领域比其他人强,你才会有竞争力。如果你什么都知识知道一点,意味着什么都做不好,拿什么和人家比呢?当然,这里是指的领域,并不是知识点,不能说精通 xss 就行了。选择自己感兴趣且看好的领域,长期发展,比如 web 安全,并不是说精通 xss,sql 注入就 ok 了,你应该精通所有的 web 漏洞,除此之外你还的学一门编程语言吧,挖洞得自动化吧,最重要的是还得有挖掘 0day 的能力,比如你审计一套代码,不会编程看不懂代码又怎么能行呢。

    我遇到的问题几乎和你一样,我以前是甲方方向的,现在想做渗透方向,就自己买了网课学习。我也出现了你一样的问题,看了后面忘了前面,而且实战中想不起来。后来课程中提供十四个靶场,我就直接搞靶场。一套搞下来,前面涉及的知识点自然就掌握了,因为每一个步骤都是攻击链当中的具体一个环节,知道每一步的前因后果,下一次遇到同样的环境,也知道该怎么搞了。并且心中有了完整的攻击链,自己开始思考如何防御,作为防守方如何反制之类的问题了。

    总之还是得实践。
    wangkai0351
        23
    wangkai0351  
       2021-04-04 18:39:57 +08:00
    我的建议是抓住一个方向深入学。在二进制 Windows 领域精通漏洞发现和精通 exploit 的基本上也是两路人,特别是三五年经验的工程师。十年前 Windows 是主战场,后面是 WEB 登场,再然后移动端登场,现在 IOT 和云端又是新战场。建议别想太多,抓住一个点使劲挖下去。
    echome
        24
    echome  
    OP
       2021-04-06 20:21:37 +08:00
    @onice 打靶场 dvwa bwap 之类的是刚开始学习的时候比较多,当时做笔记各种学习,现在很多时候没用到就忘记了。
    ctf 也是大学的时候玩过,从二进制到 web,结果也是一样没有用到就忘记,很久没碰就忘了。。。。(抱头痛哭)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   985 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:38 · PVG 04:38 · LAX 12:38 · JFK 15:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.