咸鱼的信安之路

前言

第一次接触到这个领域还是在某次新闻上看到的,说某个人用ATM的漏洞去了多少钱,当时想这个人好NB,我也好想这种将所有东西玩弄于股掌之间的感觉,后来自己上网搜各种资料,大概是高二的时候找了个师傅,教了我一些基本的日站的技巧,不过貌似几个月后,在他日了广州图书馆之后没几天,他就被请去喝茶了,然后就没了消息。。。
后来高中毕业了,想着选一个和自己兴趣相近的专业,然后就看到了信息安全,当时感觉新鲜,就试着填报了。结果自然是被录取了,也算是合自己的心意了。

开始的时候按照学校的课程安排,重复的上课,下课,感觉业没啥意思。某天听闻学长拿了“蓝盾杯”二等奖,开始对网络攻防赛感兴趣,问了学长该怎么学习相关的知识,然后给了我几个网址,让我有空就到上面去练练手。
一开始也觉得挺有趣,就直接登上去做题,做着做着发现自己的知识储备不够,没办法,只能退出来,好好的充充电,后来自己慢慢的找一些书来看,渐渐的自己就摸索出了适合自己的方法,虽说技术还是很垃圾,和以前相比总归有点进步。

WEB

做这种题我的感觉是先看例题,现在网络上的资源很多,一些基础的能很方便的找到,比如sql注入,xss,还有其他的web应用漏洞等等,等熟悉了基本的原理,这时候就可以自己搭建一个环境来练手,虽说网上有很多实验环境,但是总是没有比本地更加全面具体,这里推荐的环境有dvwa,sqli—labs等等,以后总是需要自己搭建各种环境的,不如现在练练手也好。

MISC

这类的话,我只能说多做题,多开发脑洞,越大越好,还有就是找各种稀奇古怪的题来做。做多了,其实你会发现这种题一般都是套路了,在这儿我推荐一本书,感觉对新手还不错,《数据隐藏技术揭秘 破解多媒体、操作系统、移动设备和网络协议中的隐秘数据》。
想练手的也可以去实验吧去找找题做一做,那上面的题大部分还是不错的。

逆向

这类的题我一般都是在实验吧上面找的,我对这个不是太在行,目前还处于起步阶段,大部分只是来源还是书籍和网络资源,最多还属看别人各种博客。

PWN

这个对某些人属于挑战自我的题目,做出来之后会有很强的满足感,大部分还是网络资源比较多,看雪学院的应该是比较优秀的论坛了,我的大部分PWN的只是都是从那里学来的。

目前来看,网络安全攻防赛不出意外也就从上面这些题目中延伸,如果是企业赛的话,会考虑到服务器的安全配置,应用程序的安全配置,基本上都是以一个漏洞百出的网站为基础。在比赛中攻击和防御都会考察,但是不知防,何来攻,这也是目前我需要掌握的,还需努力啊。

PS:文章中提到的一些网站或者练手站点,我会另写一篇介绍。

请我吃糖~