专栏首页信安之路案例和工具都过时了,是否还有学习的必要

案例和工具都过时了,是否还有学习的必要

在 2019 年,我们把 2017 和 2018 年的文章以年刊的方式整理出来,并对外发布,然后有小伙伴(@Howe-7)在看文章的时候,发现一些问题,如下:

资料里涉及的基础都大同小异,唯一不同的是工具的使用和案例的讲解,感觉案例和工具很多都跟不上现在的节奏了,是否还要继续学习老的资料?

下图是该同学总结的关于 web 安全入门的脑图:

拿 web 安全来说,owasp 已经把安全漏洞分类做的很好了,基本上是从漏洞原理上来分类的,但是为什么大家都在重复写相关的内容呢?而且都不太一样。

底层基础是不变的,但是会演变出非常多的应用场景,能够在遇到相关场景的时候迅速定位问题,那么这就是经验了,基础可以让我们理解漏洞的背后的原理以及修复方案,但是经验可以让我们快速定位安全问题,发现安全风险,从而提升挖洞效率。

所以旧的资料还有必要看吗?

当然有必要,因为信安之路发的内容基本上不存在时效性的,当时创建信安之路时就考虑到文章时效性的问题,所以一直以来以技术原理和安全经验为主要分享内容,目的就是无论何时再看相关文章的时候都可以在当前的环境下有所帮助。

那么什么内容会存在时效性呢

比如 0day 在被发布之后,相关厂商推出补丁之后,大家有了修复的渠道,那么 0day 就变成了 nday,那么这个漏洞只有在未修复漏洞的系统上才可以使用。那么发布 0day 就是有时效性的,一年、两年或者几年之后就没有用了。

漏洞虽然不能直接利用了,但是造成漏洞的原理和原因还是有价值的,这就涉及了一个漏洞场景,能够扩展我们的经验,在遇到类似场景的时候,快速发现问题,这也是有价值的。

跟漏洞利用相关的工具也是具有时效性的,如果漏洞失效,工具自然也就没用了,但是工具虽然不能直接利用,但是工具的实现原理还是有用的,从中还是可以学到一些知识的。

总的来说,基础和经验是不会失效的,失效的只是那些可以直接利用的漏洞和工具,对于只想用来利用的人来说旧的资料用处不大,但是对于真的想提升技术的人来说,旧的资料也是非常有学习价值的

2019 年 信安之路 的热点关键词出炉了,如图:

信安之路一直秉持不蹭热点,坚持信息安全技术和经验的分享,2019 年的分享中核心的热点关键词如图:漏洞,学习,分享,逆向,技术

信息安全离不开漏洞,也需要有逆向思维,技术是一切想法落地的关键,需要不断的学习才能跟上时代的发展,分享精神是我们安全从业者都应该具备的美德,守望相助,才能成就未来。

本文分享自微信公众号 - 信安之路(xazlsec),作者:myh0st

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 漏洞验证和利用代码编写指南

    有朋友问我近段日子做了些什么工作,作为安全研究员或者漏洞分析者最基础的工作之一,最近写了不少漏洞验证和利用的POC&EXP。所以就想结合下自己的经验和体会,分享...

    信安之路
  • 安全研究者的自我修养

    在上篇文章《推荐今年 C3 黑客大会上的几个议题》中提到 ”Attacking Chrome IPC“ 这个议题,我觉得该议题最大的亮点是在前半场,作者 ned...

    信安之路
  • 会话固定漏洞的一点学习、分析与思考

    在日常的渗透测试工作中经常发现会话固定漏洞,但是由于实际危害较小,多数情况下并没有把该漏洞写进报告中。一直对这个洞没什么深入的认识,今天好好看看,所以就有了这篇...

    信安之路
  • 英特尔、微软公布漏洞出现新变体 未来几周发布补丁

    本周一,英特尔和微软公布了一个 Spectre and Meltdown 安全漏洞的新变体,存在该漏洞的芯片被广泛应用于计算机和移动设备上。

    周俊辉
  • PHP代码审计

    代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。PHP代码审计审计套路通读全文法 ...

    企鹅号小编
  • 安全漏洞公告

    1 Check_MK 任意文件上传漏洞 Check_MK 任意文件上传漏洞发布时间:2014-03-26漏洞编号:BUGTRAQ ID: 66394 CVE(...

    安恒信息
  • 专属| 具有僵尸网络功能的新蠕虫现身

    日前,研究团队发现了一种新的恶意软件,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。Xbas...

    漏斗社区
  • 季度漏洞披露十年来首次下

    统计显示,即使周二补丁中披露了更多的安全漏洞,但是 2020 年第一季度发现的漏洞总数量确实下降了。

    FB客服
  • 安全漏洞公告

    1 Oracle MySQL Server远程安全漏洞 Oracle MySQL Server远程安全漏洞发布时间:2014-04-17漏洞编号:BUGTRAQ...

    安恒信息
  • 对话近期多个DoD漏洞发现者Alyssa Herrera

    大家好,我是Alyssa Herrera,现在是一名全职的漏洞挖掘者,我住在美国加利福尼亚。业余时间喜欢玩游戏,和朋友聊天。

    FB客服

扫码关注云+社区

领取腾讯云代金券