如何低成本入门 web 安全学习经验分享
如何低成本学习 web 安全技术?对于个人而言,成本主要有两部分,一部分是金钱,无论是网络上还是线下,都有大量的技术培训机构,培训费用都不低,尤其是线下,毕竟线下的成本比线上高很多,必须费用高才能保证盈利,做的这个事儿有回报;另一部分是时间成本,时间有限, 花多少时间入门一个方向,肯定是越少越好,那么如何降低学习的时间,达到相同的效果呢?
不花钱能不能学习 web 安全?当然可以,自学可以不花一分钱,单靠搜索引擎就能获取任何想要的资料,从海量学习资料中提取有效内容,学习实践,这可能是大部分自学的人用到的方式,这种方式存在什么问题?
需要花费的时间成本非常大,一方面要花时间搜索相关资料,一方面要从大量资料中提取有用信息,这都是需要花费大量时间的,那么有没有办法降低这个时间成本呢?
当然有,这就需要有人专门搜集整理资料,并将大量资料归类,去除垃圾资料,保留优质内容,然后在学习的时候,省去搜索资料和提取内容的时间,这样就降低了时间成本,那么哪里有这样的服务呢?
信安之路的成长平台,分为两个部分,学习平台和任务平台,公用知识体系,包括 web 安全系列,红队技术系列,蓝队实践系列,脚本开发系列,不同系列分为不同的任务,这样就把所有技术方向分拆分为多个阶段,在学习平台根据任务体系,收集整理优质资料并上传,用户只需下载查看即可,看完之后,如果想要总结分享,可以编写学习报告,上传至任务平台,后台会给报告打分,审核通过之后,则可以查看其他人的报告,进行扩展学习。
其中 web 安全、脚本开发和红队技术系列,每个任务之间是有关联的,从前到后,由易到难的顺序,要求完成一个阶段才能解锁下一个阶段,这样既能提升学习的积极性,又能保证目标专注,提升学习的动力和效果。
伙伴学习经验分享
ca01h 分享 -- 发表于 2019-12-31
CTF 确实是学习 Web 安全的好途径。我在 11 月份的时候和很厉害的师兄一起参加了校赛 NCTF,虽然被虐出翔了,这个经历回想起来也很心痛,但在打比赛的时候解出题目是学习新知识的最大动力,也是检验自己能力的一种方式。至于关于 CTF 方面,这里就不展开讲了,星球上也有很多关于 CTF 的文章,都可以参考参考。
内容来自:
wind 分享 -- 发表于 2020-06-10
关于学习方面的经验,我总结了下面几点:
1、多动手,多实践
2、记录整理与回顾
3、保持良好的学习状态
4、利用好已有的学习资源
内容来自:
冰冷的阳光 分享 -- 发表于 2020-06-12
我对于学习的建议是:
1、自我驱动 改掉拖拉的毛病,想学习就立即开始,往往拖着拖着时间就够去了,发现自己什么也没干。你只有主动地不做某些事情,才能有机会主动的做某些事情(自我驱动)。别人规范你的行为,那是外在的;只有自己规范自己的行为,才能成为自己的主人。
2、确定学习目的 没有目的的学习,就是耍流氓。不管是为了工作,还是为了兴趣,都需要一个目的作为持续下去的动力。
3、多动手 不要只看,以为找到了资料就觉得自己会了,要到自己搭建的环境中试验一下。把陌生的东西变成自己熟悉的东西。还有就是多记笔记,例如遇到的问题,解决的方式,不光是为了下次忘记可以查看,还可以在以后回头看时发现已经留下了脚印。
4、时间规划 给自己制定一个完成任务的时间线。比如一周完成一个任务,并不是将任务分解到每小时要干什么那么详细,毕竟每时每刻的状态都有可能不同。弹性学习,今天少一点,明天便补回来,要做到心里有数。不要每次到最后才想到要完成学习报告。
5、坚持学习 各位小伙伴,既然下定决心开始学习,就请坚持,学习是一项终身的事情。正所谓积⼟成⼭,⻛⾬兴焉;积⽔成渊,蛟⻰⽣焉。
内容来自:
mtcz91 分享 -- 发表于 2020-07-15
在信安之路小白成长计划中,我把 web 部分完成了大部分,现在感觉自己基本掌握了 web 安全的基础,下一步就是对各类 web 漏洞进行深入研究。
成长平台上的任务列出了需要完成的任务条目,虽然开始的时候很不习惯,但越往后我越感觉到这样设计的好处,在这个过程中,你需要主动去学习,主动去查资料,同时不会限制你的思维,这两点我觉得是成为网络安全人员最重要的特质,在提交报告后,还可以看其他小伙伴的报告进行查漏补缺,形成闭环。
内容来自:
bug132294 分享 -- 发表于 2020-04-14
关于学习我主要分享三点心得:
1、坚持学习笔记,一是可以方便以后翻阅,另一方面可以加深印象
2、坚持动手操作,看了大量的视频和资料,刚看到还感觉不错,可是如果实操的话种种问题就出来了
3、相信自己,不要放弃,不要找太多放弃的理由,坚持一下只需要一个理由就够了
内容来自:
zuoer 分享 -- 发表于 2020-04-09
关于学习,我认为有三点需要注意,一是目标明确;二是向他人学习,扩展知识;三是穷追不舍,跟着走在前面的伙伴,不断督促前行。
内容来自:
zsc0810 分享 -- 发表于 2020-03-07
基础积累还得靠自学,在之前自学的过程中,碰到了问题,一段时间解决不了,就很容易放弃,很容易打击学习的积极性,自从加入了成长计划,有很多人都可能会遇到想同的问题,解决起来真的很快,学习效率也杠杠滴。
内容来自:
wh01sr00t 分享 -- 发表于 2020-03-05
1、学习不能浮躁,要脚踏实地。也是这次集中学习的过程,让我明白了这个道理;
2、要分清主次,把主要精力花在工作相关的事情上,在有一门核心技能的基础上,再有选择性的培养第二技能,不然只能干啥啥不行。
3、人不能一直埋头干活,总要仰望一下星空,这仰望星空不是为了治颈椎病,而是坚定一下初心,思考一下未来,初心即是你当初为什么要干这行当,思考未来却不是凭空臆想,需要有丰富的信息做辅助,说白了就是能跟得上时代潮流。
内容来自:
Darren 分享 -- 发表于 2020-04-16
我认为在工作中学习的话,培养兴趣去学还是比较重要的。日常工作比较忙,很难静下心学习一门新的知识。这个时候的驱动力往往是兴趣爱好。
学习对于个人而言是枯燥乏味的,能够坚持做成一件事的成就感、满足感是支持我们走下去的动力源泉,希望大家能够脚踏实地的去学习,网络上充斥着各种培训,培训的质量再高、讲师的水平再牛,最后成长还得靠自己。
内容来自:
Gsuhy -- 发表于 2020-02-12
其实学信安给我的一个最大感受就是,不管学哪个方向都不会在很短的时间之内精通,都需要自己花精力与时间去钻研,比如一种类型的漏洞有人能发掘很多种利用姿势,可以用各种奇技淫巧去绕过,为什么自己不行呢?
第二个就是去复现一些漏洞,当然复现漏洞的时候,我觉得不能仅仅照着文档复现一遍就行,我觉得重点还是在作者如何发现漏洞的过程以及去理解 payload 的构成。
第三就是可以去玩玩靶机,vulnhub,hackthebox 之类的我觉得是一个挺好的选择,我觉得打靶机都有一个过程,一开始总是会卡很久,可能一个靶机得想好几天才能成功,但是慢慢慢慢到后来会越来越快。最后当自己觉得差不多的时候,我觉得就可以尝试去挖 SRC 了,来检验自己的学习成果。当然这也是我自己的一个学习目标,我现在复现漏洞和 vulnhub 同时进行,这两个我觉得不冲突的。
内容来自:
dbj1216 -- 发表于 2020-02-10
我认为自我学习快速提升都离不开这三点:
1、多观察,从大量资料中提取有效信息,我使用的方式是 “控制变量法”,虽然低效,但效果不错
2、多实践,刚开始我曾经向一个师傅取经,他以前是怎么学安全的。他表示一个漏洞,如果我不理解,那么我至少得练习 3 遍。
3、多总结,别人总结出来的知识,你可以引用,但最好还是能在自己能理解的前提下引用,不然说到底,这一份知识还是不属于你的。
内容来自:
无风 -- 发表于 2020-02-05
我的 web 安全入门之路,主要总结为四点:确定方向、多做笔记、动手实践和学会提问
内容来自:
Z1ng3r22 发表于 2020-01-16
对于学习我有两点建议:
1、学会调节自己:每个人都不是神,在你厌倦,抵触等负面情绪爆发的时候还是需要休息下的。例如上周,我感觉自己的学习效率很低了,我就去旅游了两天。哈哈,这也是作为学生幸福的一点吧。
2、合理分配时间:其实,每个人的时间都有限,比如我是学生,但我也要忙于学业还有一些其他杂事,只是时间更加自由,学习时间更加充足一点。
内容来自:
Mirror 发表于 2020-01-14
1、一味的学习书上的技术知识点,不实践是万万不可的,”实践是检验学习成果的方法“;
2、对于初学者而言,“基础”还是非常的重要的,不能排斥书本上一些知识细节,也许那些内容就是一个骚套路;
3、知识积累和分享是必要的!写技术博客会是个很好的选择,不但可以将自己的学习经历和计划记录下来并进行积累,还可以提升自己的文笔。
内容来自:
silent_grass 发表于 2020-08-11
我的学习思路分享,主要是在记笔记的过程中逐渐形成的。
1、一开始在学习的时候不知道该怎么学、怎么记笔记,所以就学到什么就写什么
2、后来看着笔记太乱了,就进行重新调整,将同一个知识点分成几个大标题
3、但这时候看着标题觉得还是有些杂乱无序
4、所以最后就形成现在笔记式的学习结构:基础知识--环境搭建--知识利用--拓展利用--总结
内容来自:
北极熊 发表于 2020-10-09
信息安全就是实践出结果,学习不能浮躁,一定要脚踏实地的一步一个脚印的学习!
Web安全~掌握环境搭建和复现环境、常见的漏洞原理、安全工具和神器的使用、Python脚本的编写,接着就是尽情的刷靶机靶场和漏洞复现了。做的多了自然就懂了,实践出真理!
内容来自:
小灰灰 发表于 2020-11-06
经过这半年的学习再看技术文章时,发现能理解的部分比之前多了,也在学习的过程中感受到网络攻防的乐趣,但更觉得自己会的太少,需要学习的太多。目前还在打基础的阶段,也没取得什么成就,实在谈不上经验分享,但有几点感受可以说下:
1、关于实践。看别人的文章和视频时觉得漏洞测试过程似乎很简单,真动手实践时由于系统环境和组件版本等原因,会遇到各种意料外的状况。解决问题的过程很耗时,但确实能加深对知识的理解,也收获了成就感。
2、关于学习记录。提交的报告通过审核后可以看到同一任务下其他人上传的报告,这是个很好的相互学习机会。通过阅读别人的报告能发现自己学习中遗漏的知识点、报告书写上的不足、以及发现新的学习资源。现在写报告开始注意结构和语言描述的准确性。上周提交文件上传报告后,发现有小伙伴用了 upload-labs 项目,目前正在学习中。
3、关于知识分享。自学过程中从别人写的文章里获得了很多帮助,非常感谢那些热心分享的朋友。自己也遇到过网上搜不到的问题,最后是靠查资料和不断测试找到的解决方法。虽然目前技术能力有限,但也准备建个博客,记录成长过程、分享自己踩过的坑,希望能帮到后面加入学习的伙伴。
内容来自:
未完待续
以上分享是去年之前,所有成长平台获得百分的小伙伴的学习经验分享,优秀的人都有一些共同的特质,比如坚持不懈,目标明确,动手实践,踏实沉淀等等,未来会有更多小伙伴获得百分成就,甚至三百分成就,目标百分成就获得者会在知识星球分享自己的学习心得,而三百分成就获得者,将在信安之路分享自己的传记,下一个分享的人会是你吗?