信息安全学习很枯燥,很难坚持,一点小小感悟分享给你

来自:信安之路(微信号:xazlsec),作者:myh0st

俗话说“坚持就是胜利”,可见想要获得最后的胜利是需要坚持,而坚持并不是一件容易的事情,在坚持的过程中会出现各种各样的情况来打断你,诱惑你放弃坚持,而如何坚持到底,对于每一个最终成功的人来说都有自己不同的方式,我们今天就来聊聊我的一些感受。

从我学习安全开始到现在这几年里,可以分为几个阶段:

1、大学期间,初入安全行业

2、毕业后的第一份工作,深入一个安全方向

3、辞职后进入甲方工作,不断扩大知识域

在不同的阶段学习的方式不同,遇到的问题也不一样,下面就分开来说一下。

入门安全

这个阶段最容易产生迷茫,不知道该学什么,如何学,总想有个大神带带,经常会看到这个阶段的人在网上找师傅、加好友、加入各种组织、混迹各大论坛等。为什么会有这样的想法?

因为学安全难啊!看着别人在网络上,SRC 平台挖了多少洞、CTF 比赛得了多少名,到自己这里想搞一个站却无从下手,题不会做、洞挖不出来,急呀!想着有个大佬能指点一二,自己就可以打比赛、挖 SRC 刷洞啦,说实话,这个想法很天真。

这个阶段每一个人都会经历,我以前参加学校的 CTF 比赛,自己却啥都不会,就在各大 QQ 群问题目怎么做,希望能有人帮忙解决,可是有多少有心人会帮你?就算帮你,也不可能代替你去参加比赛,只能指点一下,当你基础为零的时候,即使指点了你,你也未必能理解。当初做一个 ctf 题目是关于 sql 注入的,而题目设计时将一些常见的关键词进行了过滤,无法直接使用工具跑出来,当初我连 sql 注入是什么,怎么玩都不知道,更别提过滤了之后怎么玩啦,当初就请教了一下别人,而得到的答案是过滤了一些关键词,虽然得到了提示,但是还是不知道该怎么办,然后继续追问,得到的安全是过滤了空格,可是我还是不知道怎么办,再问人家,只能跟你说 key 了,真实菜到了极点,最终通过学习,根据提示寻找资料,在学长的带领下搞定了。

从这个例子中可以看出,在你没有基础或者没有学习相关基础的情况下,即使有人帮你,给你一些提示,你也未必能解决问题,所以问问题之前,要自己先对要问的问题进行学习和研究,将自己的研究成果记录下来,实在解决不了,把你的整理的结果连同问题一起提出来,既方便前辈帮你定位问题,也方便你解决问题。

说了这么多,也没提坚持的事情,学安全是我的本科专业,将来是要靠安全谋生路的,无论如何是不能放弃的,但是不放弃是一回事,大部分时间用来学习是需要坚持的,每天坚持学习安全和上课学习安全是两码事,前者主动学习、后者是被迫学习,最终的结果大家可想而知,自然得到的成就不一样。那么如何做到每天坚持学习呢?

人是需要激励的,做一件事能否长久,在于能否不断找出自己的目标,长期的目标是方向,短期的目标成就感,成就感的来源也是需要不断变化的,比如最初搞渗透,第一次拿到网站的 webshell,成就感非常强,当你拿第一千个 webshell 的时候,你还有当初的感觉吗?当然没有,早就习以为常啦。当你可以不断找出短期的成就感来源时,那么你这件事就可以一直做下去而不会觉得枯燥。

我当初的成就感来源有:

1、安全对于我来说是一个陌生的领域,对学习这个领域下的任何技术都有新鲜感,随着不断的学习新鲜感慢慢退去;

2、没了新鲜感怎么办?参加 ctf 比赛获得名次,当初是在学校的比赛中获得过一等奖的;

3、拿了最高的奖,再去参加也没啥意思了,然后在网络上寻找目标进行实战,获得网站的权限;

4、拿下过目标之后,同样的操作也没啥意思,然后就加入了 90sec 边学习边分享,得到更多志同道合的朋友认可,成就感油然而生。

5、毕业之后找一份好的工作,比如大厂 bat、乙方龙头企业等

渗透测试

在学校的阶段主要是打基础,基础在什么位置,那么你毕业之后得到的机会就在什么位置,为什么有的人毕业之后去了 bat 这些大公司,有些人去了乙方企业的龙头,而有的人连工作都不好找,这就是因为在学校的时候为专业付出的努力和时间不同导致的。

我当初第一份工作简历都没用,大三下学期就被人选择了去实习(貌似是邀请了两个同学被拒绝了,我是第三个邀请的,因为前两个确实在安全技术方面比我好,比我学习安全的时间长),然后一待就是四年。

这四年间一直在做渗透测试,包括:web 安全、内网安全(主要),大学期间学的最多的是 web 安全,工作之后主攻内网安全,在这个阶段的成就感来源就是能在工作中体现自己的价值,比如:

1、收集目标相关信息,找到入口,突破边界进入内网时的快感

2、进入内网之后,拿到内网最高权限之后的成就感

而这些做的多了,自然就没有当初的那种快感,久而久之,就想着出去做一个与现在不同的工作,比如将自己的渗透测试经验应用都甲方企业的安全建设当中,防止黑客的攻击。

甲方安全

辞职之后来到北京,由于没有甲方工作经验,去甲方做渗透测试,我也不大感兴趣,最后拉勾给了我这个机会,虽然是以安全工程师的身份进入的拉勾,但是做的事情几乎是主导,做任何事情都是由我来提出并进行落地,在这个过程中,不只是技术上的提升,还有思维方式的变化,从一个技术点到整个知识面,从整体上思考安全,而不是单个点。

这里的成就感来源就是经过不断的学习,找出公司安全的薄弱点,提出安全整改方案,并将方案落地,这个过程中的点点滴滴都是新鲜的,落地之后发挥了一定的作用,这都是成就感的来源。

由于在拉勾几乎是我一个人在做安全,也没有人可以交流,只能通过网络与一些志同道合的人一起交流,所以信安之路是我一直以来最大的成就感来源,每天需要不断的学习、不断的成长才能为大家分享一些经验、技术等,现在都已经成为习惯,一天不学习,就会感觉空落落的,只学习不会带来成就感,而分享出来,得到大家的认可也就得到了成就感,这也是我一直坚持下去的理由。

我目前的想法就是要做有意义的事情,信安之路的目标就是分享信息安全技术提升大家的技术,能够有人因为信安之路而原创文章并分享,这也是信安之路存在的意义,希望各位与我一同坚持下去,做一个有价值的人。

总结

不管学习什么,做什么领域,能够一直坚持下去,是需要理由的,能不断的给自己找出短期坚持学习的理由,那么你就能一直坚持下去,你的坚持也一定会给你带来回报,无论是金钱还是名誉,为了让你的学习不那么枯燥,积极分享自己的所学所感,得到大家的认可,引起大家的讨论都是一件有意义的事情。

来自:信安之路(微信号:xazlsec)

信安之路.png

推荐↓↓↓
黑客技术与网络安全
上一篇:由小小姐炫耀引起的一次钓鱼网站入侵并溯源 下一篇:安全从业者亲身经历闪付被盗刷之后的维权之路