写在前面的话:
此博客不讲具体技术,只是随便聊聊。
谈谈学习方法,磨刀不误砍柴工嘛。
DALAO可以绕道了,我就是随便写写自己的一些感悟,不喜勿喷。
个人小结
学习安全这么久以来,大致有四个阶段:
从一开始的茫然,到后来什么都学,看到什么就暗暗下定决心,加入收藏夹,缓存,然后学学学,再然后感觉迷茫,太多的岔路摆在面前,不知何去何从,再到现在痛定思痛,平心静气。
- 一开始,看到安全,第一印象就是《黑客帝国》中那些在黑乎乎窗口里面敲着命令的人,哇,感觉特厉害,潜意识里就是崇敬的。
然后到自己来学的时候,特别茫然,发现这个不会,那个也不会,啥都不会,编程都看不懂,心里的积极性受到了很大打击,很沮丧,感觉自己是永远也达不到别人的地步了。
还好,我挺过来了,不就是不会吗,我学! - 这下就到了第二个阶段,啥都学,我从python爬虫入的门,因为对这个稍微感兴趣一点~~(想爬小说看来着,有时间给更新几篇关于爬虫的博客…)~~ ,从python开始接触编程的世界。然后把大一废弃的C语言拾了起来,感觉还蛮不错,编程也不难嘛哈哈哈。
然后呢,像一个干瘪的海绵,四处吸收养分,从HTML/CSS/JavaScript到PHP,从汇编,到C/C++,再到java,从操作系统内存模型,到windows核心编程,从win32寄存器到MFC窗口开发,再到专业知识,安全漏洞什么SQL注入啊,文件上传啊,XSS啊…代码分析,等等等等,啥都看。
哈哈哈,其实这个阶段学的漫无目的,看到就想学,杂乱无章。
不过话说回来,我觉得这个阶段是对我的成长起了特别重要的一个作用,他至少教会了我很多零乱的知识,而且你懂的,安全么,就是零零碎碎的。
-
第三个阶段,感到迷茫了,学了这么多,怎么用呢,怎么把他给串起来呢,这个时间段,迷茫了很久,然后想通了一个道理:实践出真知。从这里也是我快速成长起来的转折点,光说不练假把式,这句话简直无比正确。多观察URL,多实践,构思自己的payload。这段时间也很漫长,现在我也觉得还处在这一阶段哈哈哈。
-
所以这第四个阶段,我也不能说出个所以然来,只能说是对以前的总结,就是沉心静气,掌握每一个该掌握的知识点,我只要做到我学过的,我都会!就可以了。哪怕没有实战经验,但是只要多看看多动手就是快速上手。
好了,到现在为止,废话已经说完了,下面就说说我自己觉得比较完备的一套学习方法。
学习方法(四步法)
1. 目的
目的很重要,我为什么要学这个?这个的作用是什么?比如说学习Sql注入,它能干什么?能造成什么危害?现在还有必要去学它吗?
目的相当于一盏明灯,能明确你的想法,也能过滤掉一些杂乱的念头。
2. 原理
这个不用我说,知其然必先知其所以然,漏洞的产生原因是什么?应该怎么利用?为什么工具会这么做?多思考思考然后动手尝试。不然就是名副其实的脚本小子了…
说句消极的…其实脚本小子也没什么不好的哈哈哈
3. 工具
掌握了基本的原理与方法之后,来尝试工具吧!工具是很好的东西,要不然也不会有那么多的脚本小子乐在其中…确实他们有点忘却了本心,工具的根本目的是:提高效率,而非什么都用工具扫一遍。
要是能知道工具的原理,并能够编写出自己的脚本,那想必是极好的。
4. 实践
没什么好说的,实战,多留心,多练习,没有环境制造环境。就是怎么熟练怎么来,最好能培养出自己的直觉。
关于Web安全的经验想法,大概就这些了吧,其他的以后想到了再提吧。
