了解了 Web 安全学习的路线后,你也就知道了学习的方向,那我们应该怎样去学习呢?
常言道“学以致用”,但在注重实践的计算机科学领域,有时“用以致学”可能效果更佳。换句话说,就是带着实际的应用目的去学习。我列举了以下 6 个场景,你可以带着这些目的去学习。
面向岗位学习
你毕业后肯定得找工作,如果你想从事安全工作,这关是免不了,除非你家里有矿,那当我没说。
对于面向岗位的学习,你可以直接上招聘网站查找相关岗位的招聘要求,比如在拉勾网搜索“Web 安全”,然后挑选自己感兴趣的公司,比如腾讯或 360,然后查看其岗位描述:
关键在于“任职要求”,一般招聘信息里面都会有“职位描述”和“任职要求”或“岗位要求”的信息,“任职要求”里面与技术相关要求就是你要学习的方向。比如上图 360 的招聘信息,总结下技术要求就是:熟悉 Web 漏洞攻防、工具实战、开发能力。
这几块能力要求在本课程中都会涉及,但主要还是集中在 Web 漏洞攻防的部分。这是最主要的要求。其他工具实战在靶场介绍中会涉及,后面也会有一些常见的渗透测试工具的集合介绍。
带着这种求职岗位的要求就可以很容易地找到学习的方向,对未来找工作也有直接的帮助。
面向赏金学习
当前国内 SRC(安全响应中心)平台早已是企业标配,各家各户有能力的都在自建,没能力没条件的就寄托在第三方漏洞平台上。无论是自建的还是寄托在第三方漏洞平台上的,它们的目的只有一个,那就是收集自家产品漏洞,提高产品安全性,完善自身检测与防御系统,同时避免被公关炒作。
SRC 平台会给报告者提供奖品或现金奖励,因此长期吸引着大批白帽子为其测试网站。国外比较著名的漏洞奖励平台有 HackerOne,像微软 Google、Apple 也都有自己的漏洞奖励计划,但因后者都是美金奖励,在汇率的优势下,奖金换算成人民币,常常价值不低。这也是一些老白帽子更喜欢混迹于国外漏洞奖励平台的原因。
Web 漏洞常常都能够直观地危害到网站的安全性。它们整体上相比二进制漏洞更容易被利用,危害也就更大。除了像微软、Google、Apple 这种集中在二进制漏洞为主的奖励计划,很多赏金其实都是分给了 Web 漏洞,比如 SRC、HackerOne。
你可以根据漏洞奖励计划中提供的网站范围,有针对性地进行安全测试,然后将发现的漏洞报给平台换取赏金。这种以赏金为驱动力的学习方式,对于在校生特别有诱惑力。他们可以通过赏金购买书籍、电子产品进一步学习,然后挖掘更多漏洞,赚取更多赏金,将学习转变为主动学习,构造出良性特征的学习动力。
采用面向赏金的学习方法,不仅可以提高自身的漏洞实战能力,而且还可以赚取赏金,何乐而不为?
面向工具学习
GitHub 上经常开源一些优秀的安全工具,在 Web 安全领域,以 sqlmap 最为著名。整个项目非常工程化,表现能力也非常优秀。它采用 Python 开发,通过阅读 sqlmap 源码,对研究 SQL 注入漏洞有很大的帮助。
其他的还有一些漏洞靶场,除了实战测试,也可以通过源码了解是什么样的代码导致的漏洞,避免自己在未来开发中遇到。
一些优秀的开源工具,常会提供一些不错的漏洞检测和利用的方向,及时掌握相关技术,有助于自身技术的与时俱进,避免落后于技术发展。
面向漏洞学习
在国外有词叫 Variant Analysis,直译过来叫“变异分析”,意思是通过历史漏洞学习和研究,从而挖掘出类似产品中更多相似的漏洞。尤其是同一款产品下,如果开发写出了一个漏洞,那么在其他地方出现同一类漏洞的概率就比较大。
乌云网已经成为历史,但其遗留下的漏洞案例是一笔不错的财富。网上也有人搭建了乌云镜像提供相关的漏洞、知识库的检索,你可以点击链接查看。
HackerOne 通常在漏洞修复后的 3 个月会公开漏洞细节,栏目名叫“Hacktivity”,它提供 RSS 订阅,可以非常方便地关注。
说到漏洞库就不得不提 Exploit-db,其中有着丰富的漏洞细节和利用代码。2014 年那时还是一个叫 milw00rm 的漏洞库为主流,milw00rm 不再维护后,所有漏洞信息都被并入了 Exploit-db。至今,Exploit-db 还在正常运营,其背后的团队正是打造了著名黑客系统 Kali 的 Offensive-Security 安全公司,是一家专门从事安全培训和渗透测试服务的提供商。
这种通过漏洞学习漏洞的方式,除了加深对漏洞的理解,还可以提高漏洞挖掘的产出,是一种十分有效地学习方式。
面向大牛学习
在你感兴趣的安全领域里,通常都有一些大牛,你可以去收集他们发表的论文、文章、大会议题,关注他们的微博、公众号、Twitter、GitHub、博客等社交平台账号,去了解他们的技术成长路线。
这种学习方法,前期以模仿为主,参考他们的学习方法、技术文章,把握行业技术趋势;后期是在入门之后,有了一定的技术积累,就可以开始在前人的基础上自主研究技术、创新技术,这是比较难的一个阶段,但突破后,你在技术上将会有质的飞跃。
关注安全动态
技术发展非常迅速,一不留眼你就落后了,所以要避免闭门造车,比如诺基亚的塞班、微软的 Windows Mobile,现在都退出了历史舞台,如果你之前不关注这些,还在埋头研究它们的安全性,那就有点浪费时间了。
你可以关注一些技术资讯网站、公众号、Twitter、Github、博客、RSS 订阅集合,国内外安全大会(工业界顶会:BlackHat、Defcon、CanSecWest、OffensiveCon,学术界顶会:CCS、NDSS、Oakland S&P、USENIX Security),以及 CTF 比赛等。这些都可以帮你了解安全动态的途径。
在文末的“网站推荐”中,我已经整理一份清单,建议你采用 RSS 订阅的方式关注,手机上装个 RSS 订阅客户端,比如 Inoreader、Feedly、深蓝阅读,一有更新就可以立马感知到,非常方便。