0x00.前言
应钟老师的邀请,给304实验室的同学们做了一个关于如何学习信息安全的讲座。
正好总结一下关于信息安全方面的学习方法,以后也可以给学弟学妹们参考一下。
0x01.正文
(1)信息安全简介:
信息安全呢,是目前一个发展势头正逐年呈上升趋势的这么一个专业方向,国家近年来也是越来越重视这个方面,但是每年高校向社会输出的信息安全人才远远小于社会的需求量。这个原因是多方面的,一方面信息安全不好系统地来学习,高校也不好系统地来培养学生,本科开办这个学科的高校很少,所以很多学校都是一些爱好信息安全的学生组织在一起相互学习,我们学校也就是这样;另一方面这个方向的学习也是很有难度的,能坚持下来走到底的人不多。很多从事这方面的人都是野路子出来的。
信息安全其实是一个很大的概念,初步地分的话,可以分为硬件安全和软件安全:
硬件安全主要涉及硬件的破解、像门禁卡系统、POS机、伪基站等等
目前比较主流的还是软件安全,软件安全又分很多种,目前比较明确的分类呢就是渗透和逆向。
渗透又分web、代码审计、内网渗透等
逆向有二进制安全、病毒分析、游戏反外挂等
渗透,通俗地讲就是模拟黑客的攻击,来测试一个系统的安全性,渗透方向一般门槛比较低,相对容易入门,一般以web方向为主,需要了解网页的运作原理,会一门网页设计的语言(主流的PHP和JAVA);
逆向呢,就是跟二进制有关,相对底层,比如软件逆向、软件破解等,逆向入门门槛就稍微要高些,需要汇编和C语言基础比较好。
方向很多,涉及的知识面很广,所以学习信息安全一定要选好一个方向去下功夫。如果不清楚自己究竟适合什么方向,可以都稍微尝试一下再来做选择,一定不要想着什么都想学,到最后什么都没学好。学技术一定要让自己有一个最擅长的方面。
(2)学习方法:
选好方向后,有了目标就要为之奋斗。那么如何学好信息安全呢?我结合我自己的经历总结了一些学习方法,我把这些学习方法归为两大类,一类是外在的学习技术方面的、一类是自身的学习习惯方面的。
学习技术方面:
①首先是多看,多看别人的技术文章、博客等等,从中学习基础的技术、别人的解决方法和思想。网上有非常非常多的教程和资源,自己也可以去开一个博客,记录下自己遇到的问题以及自己最后是怎么解决的,记录一下自己的学习历程。
②然后还要多关注最新的安全事件,学习不能闭门造车,多关注那些安全论坛网站,比如FreeBuf、i春秋、吾爱破解等等,了解最新的安全热点、最新的漏洞,出了什么新漏洞的话,可以都去复现一下。这些网站不仅有最新的安全方面的新闻,也有很多技术大牛的写的高质量的文章,都是很值得去多看看的。
③光看还不行,关键是要记住,信息安全涉及的知识面比较杂比较广,所以这就需要记笔记,好记性不如烂笔头,要养成记笔记的好习惯。笔记不一定非要找个本子手写,网上也有很多记笔记的软件,像有道云笔记、印象笔记等等都很不错的。记了笔记一定也要经常看、回顾一下学到的知识,光记下来而不去看的话,那记笔记本身也就失去意义了。
④学习过程中最重要的一点,就是多实践,对于信息安全的学习,实践是非常非常重要的,实践少了一切都是纸上谈兵。像比如搭建环境、复现漏洞,一定要亲手试一试,把整个流程都自己走一遍,流程中遇到问题也都是一次次宝贵的经验,走一遍流程之后收获是非常大的。那除了像搭建环境、复现漏洞这样实验性的实践之外呢,最重要还有要实战,去找一个真实的网站,去试着挖掘一些漏洞,这就是考验综合能力的时候,将学到知识运用于实战。
⑤提高代码能力,代码能力是很基础也很重要的能力,要能很轻松地写出自己想实现的功能来帮助自己解决问题。
⑥信息安全这方面也是有比赛的。一般比较普遍的是CTF比赛,CTF是Captrue the Flag的缩写,翻译过来就是夺旗,这种比赛也就相当于做题一样,flag就是答案,找到正确flag提交就行了。做CTF题也是一种学习方式,这种学习方式也是挺不错的,既有趣又能学到知识。平时可以组队打一些CTF比赛,网上也有不少CTF练习的网站,比如实验吧、网络安全实验室、南邮网络攻防训练平台等等。
⑦看书也是一个不错的学习途径,这里给大家推荐一些比较好的入门书籍:
渗透:《白帽子讲web安全》、《web安全攻防:渗透测试实战指南》、《python核心编程》、《Linux命令行与shell脚本编程大全》
逆向:《逆向工程核心原理》、《汇编语言》(王爽著)、《深入理解计算机系统》
学习习惯方面:
①首先一定要有充分的兴趣,兴趣是最好的老师,兴趣带动学习。
②学会独立解决问题,能否独立解决问题是个人学习能力的体现。因为很多情况下,求人不如求自己,自己有能力解决问题才是真本事。这也是成长路上一定要学会的。
③不懂多问,但是不能一有什么不懂就去到处问,应该先问自己,再问百度,基本上大多数问题百度都能解决,最后如果还是没消除疑惑就可以去请教一下有经验之人。
④坚持,这也是一个典型的话题了,关于这方面的话,其实我觉得说太多道理就太空洞了。总之,学海无涯苦作舟,要有“会当凌绝顶,一览众山小”的志向吧,遇到困难一定要坚持下来。
(3)注意事项:
最后呢,再说一些注意事项吧,就是说学习信息安全的过程中一些比较敏感的事。
首先第一个就是态度一定要端正,学习信息安全是为了安全而不是为了搞破坏,违法的事沾不得,黑产、灰产碰不得。
然后就是在实战的过程中,注意一些禁忌是不能碰的,比如涉及到个人信息、数据可的信息等等,如果遇到这些漏洞呢点到为止即可。因为2017年6月1日正式实施《网络安全法》,规范了很多关于网络安全的一些行为的法律责任,所以需要注意一下。
0x03.结语
书山有路勤为径,学海无涯苦作舟
勉之