注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 255|回复: 0

[技术文章] 技术小白的 web 安全学习心得

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47167
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   669 小时
   最后登录
   2020-11-30
发表于 2020-11-12 20:44:45 | 显示全部楼层 |阅读模式

大家好,我是小灰灰,在安全行业工作了 4 年多,拿过几个只考理论的安全认证,不算安全圈新人,却是个技术小白。加入信安之路知识星球 2 年多,一直是潜水状态。近三个月完成了 10 个信安之路成长平台的学习任务,达到 102 分,才有了这篇学习感受的分享。

其实 19 年成长计划刚推出时就注册了,但当时工作太忙,自己又拖延,三周过去了环境搭建都没做完,没跟上进度就选择放弃了。直到今年 5 月份重新思考职业规划时,意识到技术能力薄弱是个明显短板,会限制后期的工作选择,决定开始学习安全技术。

近半年的学习经历

5 月- 6 月,找了很多技术类教学视频,其中苑老师 Kali Linux 渗透测试看的最多,了解了常用工具功能和用法,以及漏洞原理和测试思路,理清了一些概念上的认知。但也很快发现问题——看得快,忘得快,知识转化率并不高。7 月初,意识到光看视频不实践的学习方式还是不行。在虚拟机安装了 kali,复习了一下 Linux 系统的基本操作,之后想继续学习但不知道从哪儿入手,手边资料太多出现了选择困难。这时候想起了信安之路有个 Web 安全的小白学习路线,决定从这里开始,定下登上首页排行榜的目标。

学习每个任务时,按照先读懂再实践的顺序,先搜索阅读各安全平台的技术文章和大牛的博客,结合 DVWA 和 bWAPP 漏洞平台,学习漏洞利用方法和防御思路,再编写漏洞页面,测试引发漏洞的函数,思考防御方法,加固测试环境并尝试绕过。用这种方式学完了注入、XSS、CSRF、文件包含、XXE、SSRF、文件上传漏洞。

学习感受

经过这半年的学习再看技术文章时,发现能理解的部分比之前多了,也在学习的过程中感受到网络攻防的乐趣,但更觉得自己会的太少,待学习的太多。目前还在打基础的阶段,也没取得什么成就,实在谈不上经验分享,但有几点感受可以说下:

1、关于实践。看别人的文章和视频时觉得漏洞测试过程似乎很简单,真动手实践时由于系统环境和组件版本等原因,会遇到各种意料外的状况。解决问题的过程很耗时,但确实能加深对知识的理解,也收获了成就感。

2、关于学习记录。提交的报告通过审核后可以看到同一任务下其他人上传的报告,这是个很好的相互学习机会。通过阅读别人的报告能发现自己学习中遗漏的知识点、报告书写上的不足、以及发现新的学习资源。现在写报告开始注意结构和语言描述的准确性。上周提交文件上传报告后,发现有小伙伴用了 upload-labs 项目,目前正在学习中。

3、关于知识分享。自学过程中从别人写的文章里获得了很多帮助,非常感谢那些热心分享的朋友。自己也遇到过网上搜不到的问题,最后是靠查资料和不断测试找到的解决方法。虽然目前技术能力有限,但也准备建个博客,记录成长过程、分享自己踩过的坑,希望能帮到后面加入学习的伙伴。

总结

开始一段学习不难,坚持下去才是最难的。百分学员算是对自己过去三个月坚持学习的态度的肯定,但这仅仅是个开始,之后会跟着成长平台继续学习。特别感谢信安之路为新人提供的学习路线和交流圈。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表