关于信息安全的学习

时间 2019-12-02

原文原文链接

0x00.前言

应钟老师的邀请，给304实验室的同窗们作了一个关于如何学习信息安全的讲座。python

　　　正好总结一下关于信息安全方面的学习方法，之后也能够给学弟学妹们参考一下。web

0x01.正文

　　（1）信息安全简介：shell

　　　　信息安全呢，是目前一个发展势头正逐年呈上升趋势的这么一个专业方向，国家近年来也是愈来愈重视这个方面，可是每一年高校向社会输出的信息安全人才远远小于社会的需求量。这个缘由是多方面的，一方面信息安全很差系统地来学习，高校也很差系统地来培养学生，本科开办这个学科的高校不多，因此不少学校都是一些爱好信息安全的学生组织在一块儿相互学习，咱们学校也就是这样；另外一方面这个方向的学习也是颇有难度的，能坚持下来走到底的人很少。不少从事这方面的人都是野路子出来的。编程

　　　　信息安全实际上是一个很大的概念，初步地分的话，能够分为硬件安全和软件安全：安全

　　　　　　硬件安全主要涉及硬件的破解、像门禁卡系统、POS机、伪基站等等网络

　　　　　　目前比较主流的仍是软件安全，软件安全又分不少种，目前比较明确的分类呢就是渗透和逆向。web安全

　　　　　　　　渗透又分web、代码审计、内网渗透等学习

　　　　　　　　逆向有二进制安全、病毒分析、游戏反外挂等测试

　　　　渗透，通俗地讲就是模拟黑客的攻击，来测试一个系统的安全性，渗透方向通常门槛比较低，相对容易入门，通常以web方向为主，须要了解网页的运做原理，会一门网页设计的语言（主流的PHP和JAVA）；网站

　　　　逆向呢，就是跟二进制有关，相对底层，好比软件逆向、软件破解等，逆向入门门槛就稍微要高些，须要汇编和C语言基础比较好。

　　　　方向不少，涉及的知识面很广，因此学习信息安全必定要选好一个方向去下功夫。若是不清楚本身究竟适合什么方向，能够都稍微尝试一下再来作选择，必定不要想着什么都想学，到最后什么都没学好。学技术必定要让本身有一个最擅长的方面。

　　（2）学习方法：

　　　　选好方向后，有了目标就要为之奋斗。那么如何学好信息安全呢？我结合我本身的经历总结了一些学习方法，我把这些学习方法归为两大类，一类是外在的学习技术方面的、一类是自身的学习习惯方面的。

　　　　学习技术方面：

　　　　①首先是多看，多看别人的技术文章、博客等等，从中学习基础的技术、别人的解决方法和思想。网上有很是很是多的教程和资源，本身也能够去开一个博客，记录下本身遇到的问题以及本身最后是怎么解决的，记录一下本身的学习历程。
　　　　②而后还要多关注最新的安全事件，学习不能闭门造车，多关注那些安全论坛网站，好比FreeBuf、i春秋、吾爱破解等等，了解最新的安全热点、最新的漏洞，出了什么新漏洞的话，能够都去复现一下。这些网站不只有最新的安全方面的新闻，也有不少技术大牛的写的高质量的文章，都是很值得去多看看的。
　　　　③光看还不行，关键是要记住，信息安全涉及的知识面比较杂比较广，因此这就须要记笔记，好记性不如烂笔头，要养成记笔记的好习惯。笔记不必定非要找个本子手写，网上也有不少记笔记的软件，像有道云笔记、印象笔记等等都很不错的。记了笔记必定也要常常看、回顾一下学到的知识，光记下来而不去看的话，那记笔记自己也就失去意义了。
　　　　④学习过程当中最重要的一点，就是多实践，对于信息安全的学习，实践是很是很是重要的，实践少了一切都是纸上谈兵。像好比搭建环境、复现漏洞，必定要亲手试一试，把整个流程都本身走一遍，流程中遇到问题也都是一次次宝贵的经验，走一遍流程以后收获是很是大的。那除了像搭建环境、复现漏洞这样实验性的实践以外呢，最重要还有要实战，去找一个真实的网站，去试着挖掘一些漏洞，这就是考验综合能力的时候，将学到知识运用于实战。
　　　　⑤提升代码能力，代码能力是很基础也很重要的能力，要能很轻松地写出本身想实现的功能来帮助本身解决问题。
　　　　⑥信息安全这方面也是有比赛的。通常比较广泛的是CTF比赛，CTF是Captrue the Flag的缩写，翻译过来就是夺旗，这种比赛也就至关于作题同样，flag就是答案，找到正确flag提交就好了。作CTF题也是一种学习方式，这种学习方式也是挺不错的，既有趣又能学到知识。平时能够组队打一些CTF比赛，网上也有很多CTF练习的网站，好比实验吧、网络安全实验室、南邮网络攻防训练平台等等。
　　　　⑦看书也是一个不错的学习途径，这里给你们推荐一些比较好的入门书籍：
　　　　　　渗透：《白帽子讲web安全》、《web安全攻防：渗透测试实战指南》、《python核心编程》、《Linux命令行与shell脚本编程大全》
　　　　　　逆向：《逆向工程核心原理》、《汇编语言》（王爽著）、《深刻理解计算机系统》

　　　　学习习惯方面：

　　　　①首先必定要有充分的兴趣，兴趣是最好的老师，兴趣带动学习。
　　　　②学会独立解决问题，可否独立解决问题是我的学习能力的体现。由于不少状况下，求人不如求本身，本身有能力解决问题才是真本事。这也是成长路上必定要学会的。
　　　　③不懂多问，可是不能一有什么不懂就去处处问，应该先问本身，再问百度，基本上大多数问题百度都能解决，最后若是仍是没消除疑惑就能够去请教一下有经验之人。
　　　　④坚持，这也是一个典型的话题了，关于这方面的话，其实我以为说太多道理就太空洞了。总之，学海无涯苦做舟，要有“会当凌绝顶，一览众山小”的志向吧，遇到困难必定要坚持下来。

　　（3）注意事项：

　　　　最后呢，再说一些注意事项吧，就是说学习信息安全的过程当中一些比较敏感的事。

　　　　首先第一个就是态度必定要端正，学习信息安全是为了安全而不是为了搞破坏，违法的事沾不得，黑产、灰产碰不得。

　　　　而后就是在实战的过程当中，注意一些禁忌是不能碰的，好比涉及到我的信息、数据可的信息等等，若是遇到这些漏洞呢点到为止便可。由于2017年6月1日正式实施《网络安全法》，规范了不少关于网络安全的一些行为的法律责任，因此须要注意一下。

0x03.结语

　　书山有路勤为径，学海无涯苦做舟

　　勉之