对自己的一些总结以及后面想做的一些事情

​ 算了算从刚开始学习安全到现在差不多已经两年半了吧,我是从18年底开始接触安全的,当时由于想玩破解版2k18然后下了个木马下来,打开就短信爆破后面还把诈骗短信发到我父母那边去了,当时那种无力感至今难以忘怀,只能靠下不同的杀毒软件来尝试清除,就在这时候接触并认识了我师傅 Poc Sir ,当时师傅快速的定位与解决把我这个计算机小白看的一愣一愣的,这也更加坚定了学安全的想法,所以说我能有现在这样很大程度上离不开师傅的帮助,说真的一直非常感谢他。

​ 决定学了安全之后,就想着怎么开始,就去问师傅 “外面有没有好的培训班,想报个培训班学习“ (可见当初的我还并没有自我学习的意识,都是想着报班来解决),于是师傅就说到培训班有什么好上的还不如我教你呢,听到这话可把我开心的,毫不犹豫的就同意了233

​ 师傅教我的方式并不是外面手把手的教,而且在简单演示过之后给我任务让我自学然后第二天将结果给他进行验证,不得不说这很大程度的帮我养成了自我解决问题的习惯,而不是遇到问题就第一时间去问别人,然后在11月初开始到1月份,简单的对一些 web 漏洞有了浅显的认知,也会用了一些 burp sqlmap 等工具,但是此时我对语言的接触非常少,像 python,php 都没怎么接触过更别说 java 了,于是在寒假开始跟着那本封面有蟒蛇图片的那本书开始学起了 python,然后期间做了很多 python challenge 这种,然后就是 sqli-labs 以及一些其他漏洞类型的靶场,这时候更多的就是自学了,因为师傅也很忙也不可能再像刚开始那样每天教我,期间认识了 Ascotbe 师傅帮忙转换了一些 poc 这种(然而后面当鸽子了怪不好意思的),同时在有了一定的基础的情况下也具备了自学能力

​ 到了暑假有幸认识了 kill 师傅,kill 师傅将我拉到一个群里渐渐的就认识了很多学习安全的师傅们,也知道了还有 ctf 这个玩意儿,于是也在网上找了点题目开始做 ctf 例如 buu 墨者,ctf 练剑场这些,但是做了一段时间有可能挫败感太强?就感觉没有 wp 就没有思路的感觉(其实就是缺少自我思考自我发现,说白了就是懒)然后做了一段时间就放弃了,然后就开始转向挖洞这块,一开始是真的挖不到Orz,在疫情那段时间由于天天在家时间也比较多所以那段时间就一直在挖洞,也慢慢有了思路,说实在的一开始对挖洞这东西感觉真的很迷茫,完全不知道怎么下手,后面询问了一些师傅的学习方法然后看了看乌云的一些漏洞库,慢慢的有了自己的一些思路和想法,所以就简单的挖了些,然后后面暑假就去安恒实习了

​ 在安恒实习的时间不长因为只有暑假,从6月底入职到9月初离职,期间真的学习到了很多东西,接触了很多,比如说应急这块说真的平时真的接触不到,还有就是一些实际的渗透测试这种,以及安全这个行业主要的一些方向也都有了了解,在实习期间还做了一件事,就是写 Packer Fuzzer 这个项目,这是我师傅当初的一个想法,然后喊我们一起做了大概 3-4 个人的样子前前后后写了三个月吧,项目最后在十月初正式上线了,到现在也有了800多个 star ,也是第一次从头开始参与一个项目的编写,期间也遇到了很多问题,真的事只有自己做了才会发现各种情况,但是现在再去看那个项目感觉耦合太严重了,当初只想着能用但是完全没有想过解耦,导致很多东西都揉在了一起,这样使得我现在写代码更加注重解藕的问题,然后安恒实习完之后就和 leader 要了一份 java 安全学习的路线,便正式开始了 Java 安全的学习,先从 servlet 到 mvc 再到 Springboot 这种学习,这样一下子就到了寒假 ,也就是 今年 21年的寒假,身边的师傅陆陆续续的都开始投了简历,于是乎我也开始进行了简历的投递 ,陆陆续续面了字节京东等厂家,期间也发现了自己的很多问题,例如技能栈太少,实战经验少等等,其中 knight 师傅和俺说多学学 java,于是乎就开始了 java反序列化这块的学习,于是从寒假到现在都在学习java反序列化这块。

​ 现在来说说自己的问题吧,首先我觉得就是基础不扎实,像操作系统,数据结构,计算机网络这种没有静下心来去慢慢学习过,这几门知识我觉得的在今后是一定会用到的,而且只会越来越有用,还有就是语言这块,说白了还是写的太少,后面打算多写点工具来锻炼锻炼自己的写代码水平 ,同时缺少一门自己擅长的技能,其实像 java 反序列化这些网上都有文章,只要静下心按照文章跟源码其实都能看明白,但是如果是自己挖掘的话就又是另一回事情了,像我就一直觉得我的文章写的缺少思考,缺少自己去钻研的那种想法,所以平平无奇这也就是为什么我从不进行投稿的原因(说白了就是我太懒了,毕竟有思考和研究是需要花很多精力和时间的)所以后面针对这个问题也会努力的去改,尝试跳出自己的舒适区,在学习一个知识点的时候真正的能有自己的思考和看法。剩下的就是一些技能栈,感觉到现在为止并没有一些拿的出手的技能栈,后面想着专心弄弄 java 审计这块。还有就是最近的一些看法,其实也就是落地吧,感觉很多东西只有自己去做了落实了才会去想一些问题,就拿防御这块来说,例如 sql 注入防御如何做?按照八股文的答法应该就是预编译那块,然后 order by 处不能进行预编译,需要特殊处理,例如实体映射,那么究竟如何去落实到代码呢?所以后面想问题有可能会更多的会去尝试实现,这样也是为了更好的发现问题并且解决问题,毕竟搞技术的嘛,还是得多折腾点,之前就是因为太懒太懒,思考上的懒惰,行动上的懒惰。所以现在也在慢慢的改正,对了还有就是英语的问题,感觉英语还是蛮重要的,自从四级过了之后就一直没有怎么准备六级了,后面每天多背背单词吧,毕竟会英语还是终身受益的

点赞
  1. qyexx说道:

    深有感触

  2. 4ra1n说道:

    佩服师傅,向你学习

  3. wow说道:

    楼主现在毕业了吗

    1. KpLi0rn说道:

      还没有目前快大四了,实习中

  4. mmmm说道:

    大佬,我也才接触几个月安全

发表评论

电子邮件地址不会被公开。必填项已用 * 标注