自淺黑科技開號以來, 常有人私信我們:『dalao啊, 我想學駭客技術, 該從哪學起, 怎麼學?』老實講, 這種問題很難回答, 況且我也不是什麼技術大佬,
不過巧的是, 淺黑科技採訪過的技術大牛趙武, 最近寫了一篇《資訊安全從業者入門(入職)指南》。 我覺得此文或許能給不少在網路安全門外張望的人解開疑惑, 遂要了授權轉發過來, 望各位看了有所收穫。
如果你還不認識趙武?可以參看淺黑科技的舊文《癡人趙武:我還沒打算和命運握手言和》。
《資訊安全從業者入門(入職)指南》
文|趙武@華信順安
原以為這輩子我都不會對這個話題進行專門討論, 因為它實在太無聊了, 就好像你小孩問你怎麼拿筷子一樣。 你可能會說還好吧, 我對小孩很有耐心, 教他也很好玩啊。 嗯, 是的, 如果你有一個兩個小孩還好說, 如果你有上百個這樣的不同小孩每天問你說怎麼拿筷子啊,
我們有個合夥人很厲害, 16歲保送北大物理系, 從事理論物理研究。 那一天, 我們聊到一些理論物理的話題, 比如宇宙的邊界和宇宙的生命之類的問題, 他遲疑了一下, 先進行了“探討”, 然後說“這種問題你問我是可以的, 千萬別拿這種去問張教授, 他涵養好的話會禮貌的笑一笑, 罵你也不奇怪, 實在太初級了”。 (編者注:張教授是趙武公司的投資方企業創始人張首晟, 理論物理的絕對權威, 同時也是投資界的傳奇人物)
某年, 某位至今不知道名字的好事之徒整理了一份中國駭客榜的東西, 突然把我的網名帶了進去, 從那以後各種誘惑人的“合作”郵件和“拜師”郵件就開始狂轟亂炸。
但是對於想要入門資訊安全領域的愛好者, 我通常手足無措。 一方面也想給出一些力所能及的説明, 讓網路安全事業多一些新鮮血液進來, 另一方面又總擔心落下好為人師誤人子弟的罪名。 後來就看心情, 有時候心血來潮了有問必答, 大部分時間還是充耳不聞, 眼不見為淨。 所以有些人會說我很樂於助人, 有些人會說這個人太高傲自以為是。
IT從業者鮮有不對“駭客”技術感興趣的, 這種技術太神奇了, 可以在女同學的電腦來去自如完成表白;可以去在學校的網站上肆意塗鴉;可以去打探某位裝模作樣的領導不為人知的秘密;甚至可以完成類似《驚天魔盜團》的俠義道。
反正關於資訊安全的事情都挺逗的, 各式各樣的人和事情都有, 我看到絕大多數的人真的只是圖個熱鬧, 增添一些飯後談資。 如果只是這樣, 倒也就罷了, 這裡面還真的有小部分人報效無門, 空有一番熱血和激情, 好比一位男青年夜深人靜的時候看了一些愛情動作片,
霍金的理論研究有多偉大我不知道, 完全不懂, 但是他的《時間簡史》讓我對物理產生了興趣, 把我帶入了門, 讓更多物理白癡也能開始去學習和理解跟高層次的知識, 這才是我更認可的點。
與其每天被人認為裝逼, 不如沉下心來, 整理一下我認可的技術學習方法, 以及我看到的高速發展的安全技術人員的例子。
從第一份工作開始, 十幾年來我就在不斷的面試資訊安全人員, 無論是 cocoruder(lihaifei), 還是getshell1993, carry_your他們, 我看到了很多高潛力的人才, 這些人的共性還是非常明顯的。資訊安全領域高度細分,從最初的網路安全,到系統安全和資料安全,再到後來的移動安全無線安全,甚至是車聯網安全人工智慧安全,從漏洞研究到系統搭建,從二進位到腳本。最後也有多方位精通集大成者的大神,畢竟是少數,無法複製。這裡我只能探討入門的方法,至於大神之路,我不是也不知道,老祖宗說“修行在個人”。
首先,你要高度熱愛資訊安全這個領域,這個得捫心自問是不是真正的熱愛,可以騙別人不能騙你自己。我見過很多人開口閉口說我很熱愛,我問你有做過一些什麼東西嗎,回答說沒有因為事情太多時間不夠,又說不知道怎麼入門老在外面徘徊。這種一般我是堅決不信的,時間不夠的說法簡直是最差的藉口,你平時加班就不談戀愛了?為了去跟男女朋友牽個小手,你們做過的事情一定會比翹課翹班更瘋狂。君不見那些被打的大老虎們,哪一個不是繞道大半個中國去跟情婦約會的,人家這才叫高度熱愛,哪一個不比你忙?所以顯然這個是不成立的,中國有嘻哈裡面,人家00後的卓卓就唱到“時間改變不了的叫做熱愛”。
衡量熱愛的方法特別特別地簡單:看看自己主動花了多少時間在哪些事情方面,必考題劃重點:主動 + 時間。兩個條件都不能滿足的,請自行將自己PASS掉,別浪費時間。
那麼,接下來會遇到第二個問題,我只是看了一個《我是誰:沒有絕對安全的系統》這樣的電影,我愛上了資訊安全不行啊?我還沒啟動呢,但是我有興趣了可不可以啊?當然可以,應該有一半人是這種情況吧,某件事情突然觸動了你,哎喲這個屌,我要去學習。這屬於心理還沒建設好的,只看到了光鮮,沒有看到人家背後辛苦的汗水。如果我告訴你,你的學習過程會很辛苦哦,要持續投入10000個小時哦,而且很可能會被定義為違法哦。“哎呀那不行,我還得陪女朋友去逛街給丈母娘買禮物呢”。你得把心理準備做好了再說。
我最初應該是看凱文·米特尼克的《欺騙的藝術》吸引興趣的(這本書已經沒有賣了,你目前能買到的是“反欺騙的藝術”,多麼神奇的世界),從入侵北美空中防護指揮系統,到入侵太平洋電話公司,再到後來在五角大樓和聯邦調查局來去自如,一直到下村勉牽頭把他抓住丟到監獄,整個顛覆了我原有對世界次序的理解,瞠目結舌。現在網路比以前發達太多,通過我給出的幾個關鍵字,估計大家可以輕而易舉的找到成批的資料。不凡先瞭解一下駭客的發展史,看一些書籍,那一批人要麼非富即貴,要麼遭受牢獄之災甚至是以生命終結為句點。
所以我說的心理建設就是指:你瞭解未來會面臨的誘惑,你願意為此持續投入時間,你將樹立正確的道德觀價值觀。(是不是有點像結婚或者入黨的趕腳,就是這樣,痛並愛著……)。選擇了做一個好人,就不要羡慕別人賺“快錢”。
接下來,找一個安全技術的切入點,與其臨淵羡魚不如退而結網。學習分為自我驅動和外部驅動兩種,在資訊安全領域(或者說是所有領域)裡面頂尖的大神莫不是從自我驅動開始的。感觸最深的是某一年yuange在我面前打開debug工具手動調試滿屏彙編代碼的時候,我有種強烈地取出他的大腦放到顯微鏡下分析的感覺。我自問無法沉下心來做這些看似非常枯燥無味的工作,所以,這就是我選擇做安全開發的原因吧。
如果來一個完全沒有基礎的新人丟到TK,yuange那裡去,我估計壯烈犧牲的可能性很大。一個實際的問題是,上面我提到了資訊安全非常細分,每一個領域都可能需要投入足夠的時間才能有所小成,你可以興趣廣泛,但是不能濫交,找一個方面作為切入點尤為重要。有人對Web安全入門很感興趣,因為出成績快,有人對無線安全很感興趣,有些人對硬體安全很感興趣,這都無可厚非,對於天生對彙編有親切感的,我們除了膜拜什麼也做不了。
如果你屬於那種什麼都不懂的,不妨就從Web安全開始入門,研究研究SQL注入啊,命令執行啊之類的漏洞,死不了人,這輩子都用得到。相對簡單一點,上手快,成就感強。實在研究不下去了也沒事,泡包泡面,拿本《駭客簡史》這樣的書籍看看(雖然寫的很爛,聊勝於無),保持持續的激情和動力。技術方面很多人會讓我推薦書籍,比如刺總的《白帽子講Web安全》,比如楊帥哥的《硬體安全攻防大揭秘》,《無線電安全攻防大揭秘》這之類的都還不錯啊,他們都藏私了,沒多少乾貨,不過入門剛剛好,點到為止不至於太難。(這麼看來,我們團隊也得寫本書才行……)
上面那一關過了,我覺得基本上你會有一個面試機會。我面試所有的安全人員,都會問一個問題:在安全領域你覺得誰比較牛,請列舉三個。這個答案就多了,比如說 heige,刺,tk,MJ,龔廣,redrain,yuange,flashsky,sunwear,sowhat,wushi,mickey,劍心,余弦 的都有,還有好多說這個“少”那個“少”的(一般說到少我頭就大了)。有人說我很佩服zwell,我呵呵一笑說我就是,然後他就做驚呼狀,讓我很享受,後來發現被套路了,此為後話。
我問這個問題的目的在於,判斷你有沒有嘗試融入一個技術交流的圈子,因為最好的學習方法不是看,而是實踐和交流分享。如果你關注了這些人,你當然會去瞭解他們的方向和能力,也會跟著他們的方向走,如果你每天看到的都是行業內最頂級的輸出,那麼你的能力也會得到鞭策。
就好像你聽慣了艾米納姆的歌,再去聽華晨宇的歌,總感覺差了一大截。光聽過還不行,我會問你跟他們交流過嗎?你問過他們什麼問題?你跟他們分享過什麼?如果都沒有也沒有關係,這個問題價值對應至少5000塊的工資差異,我會接著問你覺得他們厲害在哪?如果直接說日娃是中國第一駭客,我一般就放棄了。反過來說,如果你說我覺得TK和heige都是被段子手和安全耽誤了的醫科聖手,他們不僅精通二進位漏洞的挖掘,還精通Web漏洞研究,其中在ROP繞過技術上研究很深入,其中某一個位元組溢出玩出花來了,那麼,我會……把你推薦給TK。
上面是實際情況,只是稍微戲劇化了一點,正常情況下我們還是希望看到一些實際的技術產出的,在只有0和1的電腦世界裡,這個特別好衡量:你對這個行業貢獻了什麼?它可以是一段代碼,也可以是一個自己挖掘出來的漏洞,也可以是一個開源的安全軟體,還可以是一個安全事件的分析報告。只要你去實踐了,不管是你提交漏洞到補天漏洞回應平臺,還是通過眾測的模式提交給了hackerone,哪怕是你發佈到了自己的個人博客,我覺得都沒有問題。
我真遇到有人說,這個世界沒有需要我做的了,漏洞我挖不出來,會一點程式設計,但是感覺每個細分領域都有足夠好的安全工具。在這個世界有太多的不完美,所以才有越來越多的人投入進來,開發新的工具,研究新的漏洞。你不應該是一個乖乖仔,“駭客”精神首先要有懷疑一切挑戰權威的勇氣。
但凡你有一丁點的輸出,在漏洞方面比如以前在wooyun上刷過幾個漏洞,或者現在在補天和先知平臺提交了審核過的漏洞,我覺得能夠找一份甲方的工作或者到一個乙方公司實習不成問題了,只是待遇是多少的問題。
假設你能拿出一個自己在github上star過100的安全工具,簡單跟我說兩句,我會注意你的眼睛,瞳孔放光了我就給你加2000,如果身體手舞足蹈了,我再給你加3000。你看,乙方安全公司就是這麼好騙。這裡得補充一句,到這個程度的時候,我相信你肯定持續投入了超過一千個小時。秀肌肉是最好的打動面試官的方法,至於很多人擔心溝通能力不好的問題,你大可以放心,為了不放過原本就缺人才的安全行業,面試官基本會把你引到一個舒服的狀態上來。
已經入職以後,你有大段的時間開始自己的深入研究工作,這個過程中,我相信你身邊已經有很多牛人可以跟你當面討論了,你就開始了自己的大神鍛煉之路。再過一段時間,你再看看那批引路人和領導,就會萌生出一種一覽眾山小的感覺。我們這批老師傅就差不多可以下崗了,“獨坐在路邊街角,冷風吹醒……”。
這裡我單獨拎出一段來討論一下,也是很多人會問我的一些問題,差不多是FAQ性質的吧:
能不能推薦一些入門書籍推薦?上面已經有答案了,一部分是專業書籍,一部分是八卦類的資訊類書籍。沒有標準答案,以你的個人興趣為主;
安全到底要不要學習程式設計?如果要的話從哪開始?我只能說不是必備的,有一種滲透測試工程師全部用別人的工具也能玩出花來,滲透有如囊中取物。但是我看那些頂級的大神大多數都會一點程式設計的,只有這樣才能基本理解漏洞和完善自己的武器庫;
安全到底需要學習哪些技能?這個就多了,你得會用github找代碼吧?你得會用wireshark抓包分析協議吧?你得會用fofa或者shodan做全網應急吧?你得會用規則運算式來做內容提取吧?總之,資訊安全是一門超級超級大的綜合性學科,多學多用總沒錯;
對了,如果你上面這些都看懂了,但還是不行,那你別怪我,你得認命。確實不是所有人都能成為大神,比如我喜歡籃球,但是今天也沒有進NBA,連校隊都進不了,站在旁邊看他們裝逼也是很愉快的事情啊,興趣就讓它永遠保持為興趣吧。
最後,如果你熱愛安全,有一定基礎(或者完全沒有基礎),想要在這方面投入時間學習成長,無論你是已經工作了的還是應屆的亦或是未畢業的大學生,不妨給我發個郵件,我們給大家準備了一系列的安全崗位和發展機會和挑戰。我的郵箱:zhaowu@baimaohui.net
━━━
回到本文話題,關於學習網路安全的各種姿勢,如果你有什麼心得體會或者疑問,歡迎留言討論,之後我們會考慮整理讀者疑問,再邀請一些大神前來分享。歡迎關注淺黑科技~
----
----特別閱讀·請在後臺回復“烏雲”閱讀----
這些人的共性還是非常明顯的。資訊安全領域高度細分,從最初的網路安全,到系統安全和資料安全,再到後來的移動安全無線安全,甚至是車聯網安全人工智慧安全,從漏洞研究到系統搭建,從二進位到腳本。最後也有多方位精通集大成者的大神,畢竟是少數,無法複製。這裡我只能探討入門的方法,至於大神之路,我不是也不知道,老祖宗說“修行在個人”。 首先,你要高度熱愛資訊安全這個領域,這個得捫心自問是不是真正的熱愛,可以騙別人不能騙你自己。我見過很多人開口閉口說我很熱愛,我問你有做過一些什麼東西嗎,回答說沒有因為事情太多時間不夠,又說不知道怎麼入門老在外面徘徊。這種一般我是堅決不信的,時間不夠的說法簡直是最差的藉口,你平時加班就不談戀愛了?為了去跟男女朋友牽個小手,你們做過的事情一定會比翹課翹班更瘋狂。君不見那些被打的大老虎們,哪一個不是繞道大半個中國去跟情婦約會的,人家這才叫高度熱愛,哪一個不比你忙?所以顯然這個是不成立的,中國有嘻哈裡面,人家00後的卓卓就唱到“時間改變不了的叫做熱愛”。
衡量熱愛的方法特別特別地簡單:看看自己主動花了多少時間在哪些事情方面,必考題劃重點:主動 + 時間。兩個條件都不能滿足的,請自行將自己PASS掉,別浪費時間。
那麼,接下來會遇到第二個問題,我只是看了一個《我是誰:沒有絕對安全的系統》這樣的電影,我愛上了資訊安全不行啊?我還沒啟動呢,但是我有興趣了可不可以啊?當然可以,應該有一半人是這種情況吧,某件事情突然觸動了你,哎喲這個屌,我要去學習。這屬於心理還沒建設好的,只看到了光鮮,沒有看到人家背後辛苦的汗水。如果我告訴你,你的學習過程會很辛苦哦,要持續投入10000個小時哦,而且很可能會被定義為違法哦。“哎呀那不行,我還得陪女朋友去逛街給丈母娘買禮物呢”。你得把心理準備做好了再說。
我最初應該是看凱文·米特尼克的《欺騙的藝術》吸引興趣的(這本書已經沒有賣了,你目前能買到的是“反欺騙的藝術”,多麼神奇的世界),從入侵北美空中防護指揮系統,到入侵太平洋電話公司,再到後來在五角大樓和聯邦調查局來去自如,一直到下村勉牽頭把他抓住丟到監獄,整個顛覆了我原有對世界次序的理解,瞠目結舌。現在網路比以前發達太多,通過我給出的幾個關鍵字,估計大家可以輕而易舉的找到成批的資料。不凡先瞭解一下駭客的發展史,看一些書籍,那一批人要麼非富即貴,要麼遭受牢獄之災甚至是以生命終結為句點。
所以我說的心理建設就是指:你瞭解未來會面臨的誘惑,你願意為此持續投入時間,你將樹立正確的道德觀價值觀。(是不是有點像結婚或者入黨的趕腳,就是這樣,痛並愛著……)。選擇了做一個好人,就不要羡慕別人賺“快錢”。
接下來,找一個安全技術的切入點,與其臨淵羡魚不如退而結網。學習分為自我驅動和外部驅動兩種,在資訊安全領域(或者說是所有領域)裡面頂尖的大神莫不是從自我驅動開始的。感觸最深的是某一年yuange在我面前打開debug工具手動調試滿屏彙編代碼的時候,我有種強烈地取出他的大腦放到顯微鏡下分析的感覺。我自問無法沉下心來做這些看似非常枯燥無味的工作,所以,這就是我選擇做安全開發的原因吧。
如果來一個完全沒有基礎的新人丟到TK,yuange那裡去,我估計壯烈犧牲的可能性很大。一個實際的問題是,上面我提到了資訊安全非常細分,每一個領域都可能需要投入足夠的時間才能有所小成,你可以興趣廣泛,但是不能濫交,找一個方面作為切入點尤為重要。有人對Web安全入門很感興趣,因為出成績快,有人對無線安全很感興趣,有些人對硬體安全很感興趣,這都無可厚非,對於天生對彙編有親切感的,我們除了膜拜什麼也做不了。
如果你屬於那種什麼都不懂的,不妨就從Web安全開始入門,研究研究SQL注入啊,命令執行啊之類的漏洞,死不了人,這輩子都用得到。相對簡單一點,上手快,成就感強。實在研究不下去了也沒事,泡包泡面,拿本《駭客簡史》這樣的書籍看看(雖然寫的很爛,聊勝於無),保持持續的激情和動力。技術方面很多人會讓我推薦書籍,比如刺總的《白帽子講Web安全》,比如楊帥哥的《硬體安全攻防大揭秘》,《無線電安全攻防大揭秘》這之類的都還不錯啊,他們都藏私了,沒多少乾貨,不過入門剛剛好,點到為止不至於太難。(這麼看來,我們團隊也得寫本書才行……)
上面那一關過了,我覺得基本上你會有一個面試機會。我面試所有的安全人員,都會問一個問題:在安全領域你覺得誰比較牛,請列舉三個。這個答案就多了,比如說 heige,刺,tk,MJ,龔廣,redrain,yuange,flashsky,sunwear,sowhat,wushi,mickey,劍心,余弦 的都有,還有好多說這個“少”那個“少”的(一般說到少我頭就大了)。有人說我很佩服zwell,我呵呵一笑說我就是,然後他就做驚呼狀,讓我很享受,後來發現被套路了,此為後話。
我問這個問題的目的在於,判斷你有沒有嘗試融入一個技術交流的圈子,因為最好的學習方法不是看,而是實踐和交流分享。如果你關注了這些人,你當然會去瞭解他們的方向和能力,也會跟著他們的方向走,如果你每天看到的都是行業內最頂級的輸出,那麼你的能力也會得到鞭策。
就好像你聽慣了艾米納姆的歌,再去聽華晨宇的歌,總感覺差了一大截。光聽過還不行,我會問你跟他們交流過嗎?你問過他們什麼問題?你跟他們分享過什麼?如果都沒有也沒有關係,這個問題價值對應至少5000塊的工資差異,我會接著問你覺得他們厲害在哪?如果直接說日娃是中國第一駭客,我一般就放棄了。反過來說,如果你說我覺得TK和heige都是被段子手和安全耽誤了的醫科聖手,他們不僅精通二進位漏洞的挖掘,還精通Web漏洞研究,其中在ROP繞過技術上研究很深入,其中某一個位元組溢出玩出花來了,那麼,我會……把你推薦給TK。
上面是實際情況,只是稍微戲劇化了一點,正常情況下我們還是希望看到一些實際的技術產出的,在只有0和1的電腦世界裡,這個特別好衡量:你對這個行業貢獻了什麼?它可以是一段代碼,也可以是一個自己挖掘出來的漏洞,也可以是一個開源的安全軟體,還可以是一個安全事件的分析報告。只要你去實踐了,不管是你提交漏洞到補天漏洞回應平臺,還是通過眾測的模式提交給了hackerone,哪怕是你發佈到了自己的個人博客,我覺得都沒有問題。
我真遇到有人說,這個世界沒有需要我做的了,漏洞我挖不出來,會一點程式設計,但是感覺每個細分領域都有足夠好的安全工具。在這個世界有太多的不完美,所以才有越來越多的人投入進來,開發新的工具,研究新的漏洞。你不應該是一個乖乖仔,“駭客”精神首先要有懷疑一切挑戰權威的勇氣。
但凡你有一丁點的輸出,在漏洞方面比如以前在wooyun上刷過幾個漏洞,或者現在在補天和先知平臺提交了審核過的漏洞,我覺得能夠找一份甲方的工作或者到一個乙方公司實習不成問題了,只是待遇是多少的問題。
假設你能拿出一個自己在github上star過100的安全工具,簡單跟我說兩句,我會注意你的眼睛,瞳孔放光了我就給你加2000,如果身體手舞足蹈了,我再給你加3000。你看,乙方安全公司就是這麼好騙。這裡得補充一句,到這個程度的時候,我相信你肯定持續投入了超過一千個小時。秀肌肉是最好的打動面試官的方法,至於很多人擔心溝通能力不好的問題,你大可以放心,為了不放過原本就缺人才的安全行業,面試官基本會把你引到一個舒服的狀態上來。
已經入職以後,你有大段的時間開始自己的深入研究工作,這個過程中,我相信你身邊已經有很多牛人可以跟你當面討論了,你就開始了自己的大神鍛煉之路。再過一段時間,你再看看那批引路人和領導,就會萌生出一種一覽眾山小的感覺。我們這批老師傅就差不多可以下崗了,“獨坐在路邊街角,冷風吹醒……”。
這裡我單獨拎出一段來討論一下,也是很多人會問我的一些問題,差不多是FAQ性質的吧:
能不能推薦一些入門書籍推薦?上面已經有答案了,一部分是專業書籍,一部分是八卦類的資訊類書籍。沒有標準答案,以你的個人興趣為主;
安全到底要不要學習程式設計?如果要的話從哪開始?我只能說不是必備的,有一種滲透測試工程師全部用別人的工具也能玩出花來,滲透有如囊中取物。但是我看那些頂級的大神大多數都會一點程式設計的,只有這樣才能基本理解漏洞和完善自己的武器庫;
安全到底需要學習哪些技能?這個就多了,你得會用github找代碼吧?你得會用wireshark抓包分析協議吧?你得會用fofa或者shodan做全網應急吧?你得會用規則運算式來做內容提取吧?總之,資訊安全是一門超級超級大的綜合性學科,多學多用總沒錯;
對了,如果你上面這些都看懂了,但還是不行,那你別怪我,你得認命。確實不是所有人都能成為大神,比如我喜歡籃球,但是今天也沒有進NBA,連校隊都進不了,站在旁邊看他們裝逼也是很愉快的事情啊,興趣就讓它永遠保持為興趣吧。
最後,如果你熱愛安全,有一定基礎(或者完全沒有基礎),想要在這方面投入時間學習成長,無論你是已經工作了的還是應屆的亦或是未畢業的大學生,不妨給我發個郵件,我們給大家準備了一系列的安全崗位和發展機會和挑戰。我的郵箱:zhaowu@baimaohui.net
━━━
回到本文話題,關於學習網路安全的各種姿勢,如果你有什麼心得體會或者疑問,歡迎留言討論,之後我們會考慮整理讀者疑問,再邀請一些大神前來分享。歡迎關注淺黑科技~
----
----特別閱讀·請在後臺回復“烏雲”閱讀----