我为何会建立Hnu信安交流群
前几天,和朋友一起弄了一个Hnu的信安交流群。建群后,一直想写一篇杂文来记录或者聊一聊这个群的初衷。这篇博文主要从当前的背景、目标、如何学习信安、一些常见问题解读、致谢和其它来构建。
首先声明下,以下的所有观点仅代表我个人,和其它任何组织无关。不过我个人也不会对下面的任何内容负责😊,请大家批判的阅读😂
背景
1. 个人相关
大一,懵懂的少年刚进湖大,什么都不懂,什么都很迷茫。他不知道未来要做什么,不知道大学应该是怎么样的,只是随波逐流。有一天,他觉得放松够了,该学习了。可是,他发现他并不知道如何去学习,而又该学习哪些东西。然后,迷茫的他发现在习惯了高中所谓的被动式学习后,他竟完全不知道该如何去掌控自己的学习策略,学习方向。于是,他又开始随波逐流…
这或许就是我大一的真实写照:随波逐流,一个我个人最不喜欢的标签。随波逐流地伪装着学习,随波逐流地参加社团,随波逐流地逃课,随波逐流地开始晚睡…. 不胜枚举。
这大抵就是我想建立一个关于信安交流群的初衷,让更多的大一的同学能在想了解一些专业学习情况时,有更方便的途径来向他人请教,抑或各位优秀的学姐学长,抑或各位博学的老师。
2. 湖大信安氛围的不足及当下学院的支持力度增强
- 不得不承认湖大相关的信安氛围比较差,湖大几乎没有任何一个和信安相关的信安兴趣小组,这是一件非常可悲的事情。此外,这里不得不吐槽的一点是,国内的信安专业课程确实比较不合理。学的东西太杂,太乱,尤其很多相关东西讲的比较浅,尤其针对湖大来说,信安体系的培养过于理论,少了很多实践的东西,还添加了太多无用的课程耗费学生精力,课程顺序排的也十分不合理。。。
- 此外,就这个学期,我向各位老师请教的消息来看,学院对我们专业的支持力度在增强,系里也非常希望我们能有一个学生性质的兴趣小组,来渲染一些良好的信安学习氛围。
所以,我越发想建立类似的交流组织,来改善一下我们学校的相关信安学习氛围。
3. 京辉的一个推荐
这是在一个周末的早晨,那时候我刚做完美梦醒来😆。打开手机,看到京辉发的一个消息,说:我们建立一个信安交流群吧,便于分享一些资料和交流相关信息来着。一开始,我是拒绝的,因为我们觉得现在手头上项目比较多,学习课程也很多,其它一些压力也很大,精力不是很够,可能维护不好这个群。后来,京辉就说,这个可以让大家一起维护,每个人花一些精力,一个群应该很容易维护好,精力不会消耗很多。后面的事情,你们都明白了。
以上,便大抵是我们这个群由来,希望我们大家能共同维护好这个群。😊
目标
1. 首要目的
- 如前文所说,这个群最基础的目的是给各个年级间的学生提供一个交流的平台,便于各位同学向一些相对比较厉害的人请教相关知识,向各位开明的老师(我们只邀请开明的老师进群😄)请教相关科研相关的知识,为每一位喜欢分享的人提供一个更加便捷的分享平台,让您想分享的知识传播的更快。
- 此外,我们会尽力在群内分享一些相关的行业动态、招聘信息,便于各位有需要的同学获取需要的咨询。
2. 努力的方向
- 我们希望能通过这个交流群让更多的学生尽早不迷茫,知道如何去学习信息安全相关知识,知道什么是安全。我们也希望能够吸纳更多有热情的学生加入到这个群中,一起交流,一起学习,共同提高,让我湖能在未来几年内涌现更多优秀的安全人才。
- 此外,如果接下来我们团队精力足够,大家的热情也充足,而且学院支持力度也适当,我们可能会考虑建一个类似的安全协会。通过协会的方式,让这个交流群更好地发展与传承下去。与此同时,也能通过协会做一些更有意义的事,比如集体培训、集体比赛、带动一起做项目等等
- 未来,如果时机恰当,我们可能会尝试为我们系搭建一个类似信安交流的博客网站,让信安的学生有一个专属学校的博文发表处,让大家尽早养成写博文与分享知识的习惯。这些习惯对于大家以后找工作和读研都会有很大助力。 还有一个便是文俊这几天说的,搭一个类似的FTP站,便于一些大资料的共享。
- 此外,我们希望能在做出一些好的成绩后,为大家谋取一些企业的合作计划。比如某些公司的内推计划,比如某些公司的定向实习计划,比如某些公司的定期内部培训与安全沙龙相关。
以上,便就是这个群的目的了。我们坚信建做这件事是一个非常有意义的事。尤其若多年后,我们能够发现湖大的信安专业会因我们的这一次小小的举动能往前进一步,那这件事便值得我们铭记一生!
蹭着年轻多做一些无利益但有意义的事也很不错,不撒热血,何以青春!
如何学习信安
-
首先,摘一篇我在知乎上回答的东西 问题是学安全的人侧重点在哪? https://www.zhihu.com/question/27804586/answer/52086981
-
接下来分类的讲一下如何系统地学习信息安全(由于精力有限,而且个人能力的局限,我会使用一些网络的资源来写,仅供参考)。
- 第一阶段:
- 学会C 、C++、python
- 能独立安装Windows/Ubuntu系统和虚拟机
- 突破网络限制,建立自己的私有网络(VPN,Wireshark);
- 会linux基本操作,常见winddows cmd操作
- 了解相关行业知识
- 学会如何使用Google进行高级搜索
- 第二阶段:
(都要会得)
-
有一定编程能力,了解Git操作
-
熟悉nmap、nessus、metasploit等工具
-
能够独立挖掘漏洞,且可通过编程进行exp开发
(Web安全)
- 熟悉主流的Web安全技术,包括SQL注入、XSS、CSRF、一句话木马等安全风险;
- 熟悉国内外主流安全产品和工具,如:Nessus、Nmap、AWVS、Burp、Appscan、metasploit等;
- 具备独立的代码审计能力
- 熟悉各大数据库知识,MYSQL,MSSQL,redis,mongodb等灯
- 学习HTML、CSS、PHP、ASP、javascript等等语言
- 会使用python或其它语言进行脚本语言分析或者开发一些安全小工具 具体请参照:知道创宇一点点学,做到里面百分之30应该就很厉害了😂
(逆向相关)
- 熟悉x86/x64系列汇编语言、C/C++语言,能熟练读懂汇编代码;
- 有较好的逆向功底,熟练使用IDA、Windbg、OD、Metasploit等调试分析工具;
- 熟悉常见的windows漏洞
- 至少学会一门脚本语言进行漏洞自动化分析或者开发一些安全小工具
-
(移动相关)
1. 熟悉Android开发环境,能够较为熟练的开发Android程序;(IOS对应变换)
2. 了解ARM、Smali汇编语言;
3. 熟悉IDA、Gdb等调试分析工具;
4. 有Android漏洞挖掘、漏洞利用经验优先
5. 最好熟悉Android/Linux底层框架,熟悉系统的工作原理和细节;
6. 最好能够深入研究Android系统底层,分析漏洞和潜在风险;
7. 最好能够跟踪国内外的Android安全动态,分享Android安全的最新技术。 以上来自SecWiki技能表
- 第一阶段:
5. 参考
一些比较好的书籍
Web
- 《Web前端黑客技术揭秘》
- 《白帽子讲Web安全》
- 《sql注入攻击与防御》
- 《Metasploit渗透测试指南》
- 《Metasploit渗透测试魔鬼训练营》
- 《Python核心编程》
- 《Web之困》
- 《学习vi和Vim编辑器》
- 《鸟哥的私房菜》
- 《黑客大曝光》
- 《代码审计》
逆向与反汇编
- 《Intel 微处理器》
- 《Windows环境下32位汇编语言程序设计》
- 《WindowsPE权威指南》
- 《C++反汇编与逆向分析技术揭秘》
- 《加密与解密第三版》
- 《IDA Pro权威指南》
获取书籍:
- http://www.salttiger.com/?s=hack
- http://www.xiaoshuwu.net/category/sec/
- site:yun.baidu.com 书籍名称
网站推荐:
- 知乎(推荐个我的收藏:https://www.zhihu.com/collection/56255789)
- 安全网站推荐
- 安全博文
就这三个吧,里面有很多其它网站索引,请自主探索。
一些常见的问题
以下所有的问题,只是基于我现在的见解来分享,可能过几年,我又改想法了😂所以,本人对下面的东西也不负责。
-
信安的前景怎么样?
在我现在看来,学信息安全前景很好,而且会越来越好。(传言腾讯挖tomkeeper直接开了2000w的薪资。。)但是,这里有一个矛盾就是可以说大多数当今信安专业体系培养下来的人是完全不能胜任公司工作的。因为在学校里学的知识都比较浅,尤其对实践能力培养不是很够。所以,如果以后想做这一方面的,你需要在学校里多接触一些这方面的东西,比如及时跟进实验室,锻炼科研能力;多参加CTF、学习渗透乃至漏洞挖掘相关;尝试参加一些兴趣小组,提高工程能力。
-
搞科研好还是搞工程比较好?
以前,我是坚定的工程派,我觉得一个计算机相关,尤其信安相关的,在科研界完全没搞头,科研界研究的东西太无趣。不过,现在的想法有了一些改变,(由于某些经历),我觉得如果你对信息安全特别感兴趣,而且对科研也不反感,我希望你可以尝试着把自己的成绩弄好(或者多参加一些竞赛,拿到竞赛保研资格),在大四的时候尝试保研到一些比较优秀的信安相关的高校。(这里不点名高校了,想走这条路的人到时候自然知道该去哪些地方)此外,并不建议考研信息安全。。。
主要有以下几个考虑的点,一是我觉得搞科研这事,也应该是一个比较有趣的经历。人这一辈子应该需要去经历以下。二是觉得既然你一直觉得对这方面很感兴趣,那么你为何不去这个领域的最前端看看呢,说不定看着看着就搞出了一个大新闻,在某方面进行了突破。然后,整个领域的人都来学习你研究出来的技术,这样岂不是很帅! 三是因为你既然都拿到了保研资格,那么在一定程度上分析来讲,读研是一个性价比特别高的事情,所以建议你尝试。
此外,想读研的人建议提早进入相关实验室实习(最好在大二暑假就去😊),不要怕自己渣。你现在渣,以后厉害就可以了! 当然无论你打算搞科研还是工程,我都建议大一大二就开始尝试做一些安全相关的项目积累经验
-
是不是大一就该开始搞信安
可以参考上一题,很建议。记住,你学的最痛苦的时候,就是你成长最快的时候。
-
为什么他们那么厉害,我却那么渣
其实,我也一直有这样的感觉。他们怎么那么厉害,我却那么渣,啥都不会。我旁边的一些我认为非常厉害的人,也一直说自己很渣。我一直以为这是他们装逼(单纯脸),他们明明那么厉害还说自己渣,简直不能当朋友。现在,我换个思路来回答这个问题,当你觉得自己渣的时候,其实你已经进步了。我们人类讲社交圈,当你觉得你旁边的人都厉害的时候,很有可能是因为你的社交圈提升了。所以,你认识了很多厉害的人,此时你不需要惊慌只需要努力跟上他们,然后慢慢地接近他们,最后超越他们。😄哈哈哈 装了一波好逼。😊
那么我该如何变得厉害呢?就如我上面所说的,你学的最痛苦的时候,就是你成长最快的时候。所以,去尝试逼着自己学习一些东西,做一些项目。或许不知不觉间你就厉害了。
-
我该如何权衡学科学习和信安课外学习
这里有一点要声明的是,我一直觉得我们是信息安全专业的大学生。你看,我们首先是大学生,其次是信息安全专业的。所以,我们首先应该做好一个学生的义务,学好成绩,无论哪门课开设的有多不合理,你至少要保证自己不挂科!在学有余力的基础上,尝试课下学习信安课外学习。
-
CTF就代表信息安全吗?
不是,CTF绝对不代表信息安全,尤其其考察方式与正常的渗透也有很多区别。此外,国内的一些比赛题目的水平也参差不齐。尤其,我这次做了一个出题的兼职,我觉得就以我现在的水平出出来的题目,营养性肯定不够。所以,像我这样的人出的题目很有可能并没有太大的学习价值。但,我觉得打CTF还是有一定的意义的。
主要是有以下几点考虑:
1. 你首先要知道非法渗透是非法的(虽然当下查的不是很严),所以除了一些官方的渗透测试演练平台外,你可能只有在CTF上才能学到一些实战技术。 2. 参加CTF比赛,你可以遇到更多的喜欢信息安全的人,融入信息安全的圈子,共同交流。 3. 通过做出一些CTF题,对自己的学习能力进行一定程度上的检验,给自己一种成就感。比如,你线下赛,你一个人carry全场,灭了所有其它参赛队伍。😊(我多次被各大赛棍吊打😭) 4. 现在的CTF比赛,在段老师、诸葛老师等等各位知名教授的引领下,在国内的影响力将会越来越大。很有可能会成为下一个类似ACM级别的比赛。所以,在这个比赛上取得一些成绩,大多数用人单位和高校都会承认你的技术水平。 5. 最后,打CTF比赛很黑客,很帅,而且钱多。😄
最后,讲个东西。在你一开始打CTF比赛时,你会发现你几乎什么都不会做。这是因为出题人会极力避免题目是能被工具包里渗透出来,所以对于新手来说,做这些题目是很难的。但是,我觉得这很正常,你应该坚持下去。每次比赛至少化半天时间,搞这个。然后,等比赛结束后,迅速在网上寻找相关writeup看别人是怎么做的。这时,一般比赛平台还是开放的,你可以尝试通过writeup来解题。然后,你需要搞懂为什么这样解题是对的,为什么需要这样考。这个思路和大家高中学习思路很像,就是通过刷题来学习信安知识。因为每一道好的CTF题就代表着一个知识点。如果你多参加几次,或许几个月后,你就是一个大牛了。
-
英语重不重要,编程重不重要
英语非常重要,编程功底也非常重要。我讨厌脚本小子!不过,算法可以借鉴性学习,不需要太深入。毕竟,人的精力有限。当然,如果你是天才,我强烈建议你成为一个算法牛。我一直想提高自己的算法能力,奈何智商不够😭
-
什么样的人是靠谱的? 我觉得一个靠谱的人,首先是一个守诺的人,直白讲就是,你答应的事情,你要有一定的责任感,你要坚持把他做完。(这里我愧疚的讲,我这个月坑了一波我们班主任肖老师,这里再次表示抱歉。5月事情有点多- -)然后,你要能静下心来,不浮躁,懂得如何学习。这是非常重要的。因为我们信安的学习曲线比较陡峭,所以浮躁的人往往坚持不下来。此外,还有一个非常好的习惯就是学会提问题,懂得如何提出好问题,懂得如何自我解决问题,而不是一味的伸手。我超级讨厌伸手党的。 最后,千万要避免这个习惯:只会收藏一些非常好的东西,但是收藏过后往往什么都不看,以为收藏了,那些东西就是自己的了。
致谢
其它
招募招募啦~!来来来,各位大牛们,有兴趣的快把简历投过来,不限年级不限专业哦。信安交流群只是我们的副业,我们主要任务就是编程开发各类安全相关的项目,然后刷比赛,刷Github,刷💰我们内部还定期会有技术知识分享,安全沙龙哦😄
有兴趣的,可以发简历给我们相关负责人:869146384@qq.com
希望有更多,有能力且靠谱的人能参与到我们团队中!