37 | 个人成长:学习安全,哪些资源我必须要知道?

在这里插入图片描述

安全涉及的知识面非常广,更新速度也很快,前辈们很难有足够的时间和精力来言传身教。这个时候就需要我们具备良好的自学能力,通过持续的学习来掌握新的知识,应对新的变化和挑战。

优质的学习资源是自学的重要基础。今天,我就来盘点一下,对我个人的安全学习产生帮助的各类学习资源,以及不同阶段的安全人员应该如何对各类资源进行取舍。

安全入门书籍

安全的核心能力分为两个方向:攻击和防御。俗话说“未知攻焉知防”,所以,学习安全一定是从攻击手段入门,在掌握了一定的攻击基础之后,我们再考虑选择某一个方向深入学习。

所以,我建议刚入门的同学可以先选择几本攻击方向的经典书籍来学习。

《白帽子讲 Web 安全》这本书是大部分人的安全入门书籍。它覆盖了绝大部分的安全攻击知识,而且作者把知识点讲解得清晰,即使你没有安全基础也能很好理解。可以说,在学习完这本书之后,你已经具备了安全人员所需要的全部基础知识。

如果说《白帽子讲 Web 安全》是一本入门教程,那《黑客攻防技术宝典》就是一本攻击手册。虽然同样是讲 Web 安全攻防内容,但是《黑客攻防技术宝典》对其中涉及的每一个细节和原理(如 HTTP 协议,浏览器技术等)都进行了详细讲解。你在学习 Web 安全的过程中遇到的大部分问题,都可以通过翻阅这本书来解决。因此,我建议你通读这本书,并且结合实际工作中遇到的问题随时查阅。

熟练使用各种渗透测试工具是安全攻击的必备技能,Metasploit 是最为常见的渗透测试工具之一。《Metasploit 渗透测试指南》这本书是学习这款工具最经典的书籍之一,书中对如何利用 Metasploit 发起各类攻击测试,进行了详细介绍。如果你想要快速掌握 Metasploit 的使用方式,这本书能够帮到你。

学完这几本书,你不一定能发起一次真实的攻击。但当你面对任何一起攻击事件时,一定能知道它的原理是什么。这恰恰就是所有安全人员需要具备的基础能力。

攻击进阶练习

有了一定的攻击基础之后,如果你还想向攻击渗透方向深入钻研,那就不是任何一本书能够解决的了。这个时候实战训练能够帮助你快速成长。下面,我就来分享一些我觉得很实用的攻击渗透平台。

WebGoat是最权威的 Web 安全组织 OWASP 提供的一个 Web 安全练习平台,它几乎涵盖了全部的 Web 安全漏洞的讲解和练习内容。使用 WebGoat 有两大好处:首先,它是一个本地的平台。这意味着你可以随时查看网页的源码,甚至进行调试。因此,你可以清晰地了解一次攻击发生时,Web 应用内部到底发生了什么;其次,其中的每一个练习内容都有对应的知识讲解。所以,这个平台对你明确攻击方向,进行安全入门训练是十分适合的。

Pwnable.kr是我体验过的免费的攻击渗透平台中最好用的一个。Pwnable.kr 中的题目更偏向系统和应用层的攻击渗透(这些都是权限提升过程中的常见手段),适合用来进行攻击渗透的进阶训练。Pwnable.kr 的好用之处就在于,它提供了一个可以直接访问的 Linux 系统环境,省去了你在本地搭建环境的繁琐过程。

但是 Pwnable.kr 有一个缺点,就是不提供任何解题思路和答案,不过,网上已经有很多人公开了平台上题目的解题思路,你可以用来参考。但是,我还是建议你至少花 2-3 天的时间去思考和解决一道题目,如果仍然得不到结果,再去参考别人的答案。

如果自我训练已经无法让你获得成就感了,那是时候去参加一些比赛了。目前,国内的XCTF 联赛最为知名。你可以独自作战,也可以叫上几个朋友组团参赛。

通常来说,一场 CTF 比赛会进行 48 小时以上,如果你精力充沛的话,可以去体验一把挑战极限的快感。而且,比赛方通常会在赛后公开部分题目的解题思路,你也可以拿来作为学习的资源。通过不断参加比赛,你可以磨练自己的攻击技巧和能力。除此之外,如果获得了足够的积分和名次的话,也是证明你个人能力的一个有力证明。

当具备足够的攻击能力之后,你既可以成为安全渗透人员,为企业应用的安全贡献力量,也可以成为一名“白帽子”,专门去挖掘各个公司的安全漏洞,然后提交给对应的 SRC,获取各类物质奖励。

企业防御书籍

如果你选择的是安全防御方向,你会逐步接触到公司的安全防御工作。那么在一开始,你一定要去学习各大公司的安全负责人的经验,看看他们的安全建设思路是怎么样的,以及有哪些“坑”需要注意。阅读他们的书籍,就是向大佬学习的一种最简单、快捷的方式。

有关企业安全的书,我读过比较好的有:赵彦的《互联网企业安全高级指南》、聂君的《企业安全建设指南》、石祖文的《大型互联网企业安全架构》。这些书中有很大部分内容是相似的,从任何一本书中,你都能够了解到企业安全体系建设所需要使用的工具。对我个人来说,书中最精华的部分是作者对安全体系建设的思考、对各类安全工具的理解。

这些书的相似内容很多,读起来也不会花太多时间,所以,我建议你将这些书都读一遍。而且这些书籍都是安全行业内鼎鼎有名的大佬们,基于他们自己的防御体系建设经验总结而成的。虽然你不可能完全照搬里面的安全建设方案,但你可以从中吸取经验教训,博取众家之长,然后设计出适合你们公司的最佳方案。

安全证书

除了书籍和练习平台,我还想和你分享一些比较有价值的安全证书。以我了解到的现状,这些证书对应聘安全工作不会有太大的帮助。但我认为,这些证书最大的意义就在于,它能够推动你对安全知识体系进行补充和整理。因为考证的过程也是你对学过的知识,进行再次学习和思考的过程。

其次,尽管对职业发展可能并没有帮助,但不论是对内行还是外行来说,证书始终是证明你安全能力的一个有力标签。

下面,我就来分享三个我认为最有价值的证书。为了方便你对比,我把这三个证书的基本信息总结了一张表格。在此基础上,我会重点分析一下,这些证书分别给我们的安全职业发展带来的好处。你可以结合自己的情况,来选择是否考取这些证书。
在这里插入图片描述

CISP(Certified Information Security Professional ,注册信息安全专业认证)的考试普遍反馈难度不高。不过我认为既然主动去考证了,目标就绝不仅仅只是考试通过,而是以学习和自我提升为主要目的。在内容上,CISP 整理得还是很完善的。而且 CISP 强制培训,在培训过程中,通过讲师的介绍,同样能够学习到不少理论和实践的内容。

在内容上,CISSP(Certification for Information System Security Professional,信息系统安全专业认证)会比 CISP 更丰富一些,不仅包含一些国际性的政策和框架,还包含诸如物理安全等更偏向运维的内容。另外 CISSP 不存在题库,它的初衷就是希望你不仅仅只是去背教材,而是能够自主梳理知识,并且深刻理解安全。因此,学习 CISSP 不仅能拓展你的知识面,还能帮助你进行自我总结和提升。

CISP 和 CISSP 是更偏向公司防御的证书,而OSCP(Offensive Security Certified Professional,安全攻击专业认证)是专门针对攻击渗透的证书,最近也比较热门。如果你在自主训练时觉得缺乏明确的方向,其实可以尝试通过考取 OSCP 证书来获得指导。另外,CTF 比赛竞争还是比较激烈,拿到名次也很难。因此,我认为可以将 OSCP 作为 CTF 之外的另一种选择,只要拿到了 OSCP 证书,同样能够证明你的攻击渗透能力达到了可以实际运用的水平。

安全资讯

最后,我还想推荐 3 个比较常用的资讯网站,FreeBuf、安全客和安全牛。这些网站每天会更新一些安全新闻和学习资料,你可以通过它们快速查询最新的行业动态。我个人一般是利用休闲时间,来阅读这类网站上的内容。我会先快速地浏览一下标题,找出一些感兴趣的内容进行了解。如果遇到某些特别感兴趣的知识点,想要深入挖掘,我会再搜索其他的相关资料来补充学习。

总结

我觉得无论跟随哪个课程进行学习,都不可能学完所有的安全知识。所以,在学习安全的路上,自学是我们不断精进的主要方式。

我的经验是:书籍能够帮助你入门,并且指导你进行防御建设;实战演练是掌握安全渗透技巧的唯一途径;安全证书一方面能帮助你对整体的安全知识进行全盘梳理,另一方面也是你个人安全能力的一个证明;安全资讯是帮助你掌握安全动态,发现新知识点的一个不错途径。

想要学好安全,没有什么捷径可以走,唯有多练多看。因此,对于安全的学习,我不建议你在前期花过多的时间去做基础知识储备,那容易变成纸上谈兵。我更建议的是,当有了一定安全基础之后,你要找机会尽快投入到实际的演练或者工作中。在实践的过程中,你再对遇到的困难或者知识盲区进行有针对性的学习。另外,在积累实际经验的过程中,周期性的自我总结,以及对知识进行系统梳理,也能很好地推动我们的个人成长。

思考题

最后,你可以在留言区讲一讲你的自学心得,分享一些你的学习资源。

如果有收获,欢迎你把文章分享给你的朋友。我们下一讲再见!

下一讲

安全新技术:IoT、IPv6、区块链中的安全新问题

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/54652.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java连接MySQL数据库——含步骤和代码

原文地址为: Java连接MySQL数据库——含步骤和代码 工具:eclipse MySQL5.6 MySQL连接驱动:mysql-connector-java-5.1.27.jar 加载驱动: 1. 在工程目录中创建lib文件夹,将下载好的JDBC放到该文件夹下,如下…

2022广西最新八大员之(安全员)模拟试题题库及答案

百分百题库提供建筑施工八大员之安全员考试试题、建筑施工八大员考试预测题、八大员考试真题、安全员证考试题库等,提供在线做题刷题,在线模拟考试,助你考试轻松过关。 1.安全生产领导小组由总承包企业,专业承包企业和劳务分包企业项目经理、技术负责人和…

2023最新Python国内镜像源,亲测可用

1、镜像源 pip包管理工具可以下载第三方库到本地使用,第三方库的来源地址称之为镜像源,镜像源中存放了大量的开源库供我们下载使用。pip的默认镜像源地址在国外,下载很慢,本文收集了当前国内常用的镜像源,速率由快到慢…

Red Hat下载ISO镜像的方法

目录 一、Red Hat介绍 二、进入Red Hat官方网站 三、步骤 一、Red Hat介绍 Red Hat 是一家全球领先的开源技术解决方案提供商,总部位于美国北卡罗来纳州罗利。该公司成立于1993年,其主要产品是 Red Hat Enterprise Linux (RHEL) 操作系统。Red Hat 还…

seata搭建 1.4.2

1.下载源码 下载服务器端 https://github.com/seata/seata/releases 找到1.4.2的zip下载 2.修改配置文件 解压后需要修改config文件 路径\seata\seata-server-1.4.2\conf 针对自己项目所使用的服务注册和配置文件的中间件决定使用哪一个(当前举例nacos&#x…

已解决——“搜狗输入法如何进行候选页翻页”

搜狗输入法候选翻页 打开搜狗输入法后(不同版本可能页面会有差异): 点击鼠标右键选择更多设置。 选择属性设置,点击按键栏,找到候选键翻页。 效果简述(以逗号句号为例): 打字一…

搜狗拼音带来的俩个烦人的弹窗解决方法

文章目录 1、搜狐的新闻2、提示安装搜狗浏览器清理垃圾解决办法,按ctrl alt 就会关闭了。 1、搜狐的新闻 进入你安装的搜狗拼音的目录下,进入数字的文件夹,把SohuNews 这个选中它,shiftdelete,将它彻底删除。直接del…

和府捞面跨界合作《脱口秀小会》,探索娱乐文化营销

上海2021年8月27日 /美通社/ -- 8月10日晚,新一季《脱口秀大会》正式开播,李诞、杨笠、王建国等知名脱口秀演员及一众新星齐亮相,邀请了来自不同行业、从事不同职业、拥有广泛背景的跨界选手加入,通过跨界选手对日常生活内容的讲述…

搜狗手机输入法 for MeeGo 平台今日独家登场

搜狗手机输入法 for MeeGo 平台今日独家登场!支持拼音、英文九键;内置两款精美皮肤;划动切换键盘模式等众多特性,完美继承搜狗体验!N9输入,依然搜狗~有兴趣的朋友可以试一下 1.1 支持拼音9键,拼…

黑马程序员万人开学季!美女班主任甚至即兴rap了一段脱口秀~

各位黑马同学 你们好 欢迎乘坐黑马号K1024次列车 祝您旅途愉快 8月开学季 传智黑马又迎来一大批“未来的技术侠客” 他们揣着梦想铿锵而来 这个夏天,骄阳似火 但每个学生求知的心情比火更热烈 尽管,大家来黑马之前的身份各有不同 应届大学生、销售、客服…

小狼毫(RIME)输入法入门使用详细教程

官网 https://rime.im 百度云链接 链接永久有效,有window版,mac版,安卓apk,教程小视频 链接:https://pan.baidu.com/s/1a-z1wYwyZ50A6x92lXIgWg 提取码:asdf 下面开始教程,安装就不说了 手…

谁在押注“脱口秀直播带货”?

文/王慧莹 编辑/叶丽丽 “这边给得太多了,我们确实给不了这么多。”10月底,李诞做客罗永浩直播间时调侃直播带货的高收入,并戏称希望跟罗永浩换工作。 如今,李诞的愿望实现了。 12月10日,正值淘宝双12前夕,…

搜狗输入法 个人输入习惯同步

最近换了新电脑,之前的一些同事的名字又要让输入法重新记住,就搜了一下如何同步个人打字习惯,这次终于找到了正确的办法(之前换电脑也尝试过,但是没能找到,心里面一直不甘心,在想这个功能应该很…

【小技巧】搜狗输入法——搜狗今日新词广告弹窗

一些解决流氓弹窗、广告、挖矿等问题的小技巧。 环境:win10。 均为本人搜索、总结出来的一些简单方法。 计算机小白,如有问题请及时提出,见谅。 侵删。 说个题外话,我之前有找过其他的输入法,win10自带的输入法确实不错…

小鹤双拼入门和小鹤音形的搜狗输入法配置方法

记忆口诀 秋闱皒软月,韵书迟落撇。 阿宋穷带份羹,航岸快赢良况。 邹霞夸草追鱼滨,鸟眠小鹤双拼。 iu ei e uan ue, un u i _o ie 图月,书痴 a ong ai en eng, ang an ing _ang 建安,快赢,良况 ou _a …

【英语音节输入软件】模仿汉语拼音

英语音节输入软件下载地址:ZOL下载。 英语音节编码图表: 【备注】 1.上图显示英语48基本发音(20元音28辅音)。按照设定,一切英式英文发音,都是根据48基本发音排列组合得来。 2.其中有些辅音发音&#xff0…

西梅APP,不waichu也能看全球趣闻热点资讯,英语脱口秀,原版书

想学习英语 想看外刊媒体资讯 想读原版英文书籍 想听英文脱口秀 西梅APP都满足你 西梅APP是一款AI智能双语资讯产品,汇聚了海内外优质商业、财经、科技、体育、文娱、影音等媒体资讯。 西梅APP涵盖了300新闻资讯来源,可以第一时间获取中英文对照模式…

不甘心只做输入工具,搜狗输入法上线AI助手,提供智能服务

8月19日搜狗输入法上线了新功能——智能汪仔,在输入法中引入了AI助手,这是搜狗输入法继今年5月推出“语音变声功能”后又一个AI落地产品。 有了智能汪仔AI助手的加持后,搜狗输入法能够在不同的聊天场景,提供丰富多样的表达方式从…

参加51CTO学院软考培训,通过后感想

参加51CTO学院软考培训,我通过啦 经过3个月的学习准备,经历了一场多年未有过的紧张考试、狂写试炼,在考完后的忐忑心情洗礼后,终于出软考出成绩了,过了。瞬间一阵狂喜,激动不已,回想报考培训班的…

参加51CTO学院软考培训,我通过啦!

本次是我第二次参加信安的考试,第一次由于是信安的首次考试,我准备不足,非常遗憾,名落孙山,但总体成绩也不是差很多,感谢51cto给了我跟班的机会,由于我平时工作十分忙碌,单纯通过自学…