有点长,希望大家可以看完再指点,先谢谢了 :)
在知乎上也提问过,但是没人回复,现在来请求码农更多的 v2 吧
为了说明自己的情况,我先描述一下我的经历吧
本科是一个比较渣的二本学校的网络工程专业,因为从小在农村长大,教育条件并不是特别好,所以对于计算机网络的只是了解甚少,说句不好听的话,别说网络了,台式机能够正常开关机就很不错了。但在大一的时候就对计算机有了浓厚的兴趣,想要了解计算机各方面的知识,一开始感觉自己的编程不好,所以通过自己的努力,将开始的 C 语言课考了一个全年级第一,但是然并卵,在纸上写写还行,真正敲代码,菜鸟都算不上,各种 bug 啊,之后班级的辅导员推荐我去了学院的 ACM 实验室(刚入学想加入来着,但是基础太差,被刷了。。。),在里面疯狂做题,做了一年,感觉自己不想只是局限于写代码,想了解更多的知识(还是太年轻啊,心太浮躁了),之后就退出了实验室,之后又利用了自己一年的时间学习了各种各样的计算机知识,太杂了,我都不好意思说了。到了大三,是时候下决定是考研还是工作的时候了,说句实在话,当时对工作是恐惧,因为自己在大学里面是学的挺 high 的,但是你要是说自己真正喜欢什么方向,想做什么方向,我还真不知道,带着这份迷茫,之后考上了一个还行的 985 ,希望可以在研究生期间找到自己真正的方向,带着这份期待,我踏入了研究生的学习与生活中。
怪我把研究生想的太美好啊,以为会有实验室专门的师兄师姐带着做项目,搞学术,最终还是 too young too simple 啊,项目+学术无非就是老师逼着写写自然基金,写写专利,这个我就不多说了,上过的都懂,说多了都是泪啊。整个研一就是在这种带着期望与失望的过程中度过的,到了研二了,回头想想,自己真心不能再被实验室这么坑了,不然爬不出来了啊。在机缘巧合的情况下,在知乎上了解了余弦,黑哥等人(主要是知道创宇的布道,这里衷心的感谢),当时心情那个热血沸腾啊,感觉看到他们,整个人都燃了啊,以前感觉黑客就是利用工具黑黑别人网站,破解正版软件,虽然羡慕,但是并不是自己喜欢的,感觉没有太多代码可写啊,不写代码,我做这个就没有兴趣了啊。果然没有实践就没有发言权,自己详细的查了,看了。哪有我想的那么简单,黑客的代码量和技术含量有时远远比一般的程序员那要多得多啊。这时才开始慢慢意识到余大大说的一句话--“在知道创宇,黑客不神秘”
在接下来的半年中,我一边还做着实验室的工作,一边开始学习 web 安全的知识(之所以选 web 安全起步,因为一方面这个是我大学学的网络也是我最感兴趣的,另一方面,它更容易起步),期间还花了大概一个多月的时间和武大的一个同学做了一个小项目,就是爬取东方财富网的数据(大概有两千万的网页,加上数亿的数据,这个因为会有数篇的论文需要发,代码和数据暂时还不能公开,等论文发完了,所有数据和代码,我都会发到 github 上)
学习 web 安全有半年多了,从一开始的不知所措,只有热血,到后来买书(余大大和刺总的书),一点一点学,经历了热血,冷静,之后的彷徨。书上的知识学完了,也算入了一个门,一般的 XSS 、 SQL 注入、代码执行、上传、爆破等理论知识,一般的利用的技巧也都有所掌握,也开始把学习的重点放在 wooyun 上,从大牛发现洞,我跟着用,也提交了几个不痛不痒的洞。回过头来发现,自己在离技术越来越远,只是最最普通的脚本小子,甚至有时都算不上。开始思考,我这样的学习方式,是不是有问题呢,利用别人的 poc , exp 去拿站 /getshell ,而没有深入的去理解里面真正的技术,有意义吗?
这个期间真的是彷徨了一段时间,不知道该怎么做了,还有就是,马上就要找工作了,我现在深入学习某些东西,还能来得及吗?一点项目经验都没有啊,实践经验也没有啊,我利用别人的洞算是实践经验吗?面对即将到来的找工作,我肯定希望找一份 web 安全的工作,但是这个简历该怎么写呢?我才入门了半年多,想像自己关注的大牛那样在某方面做的比较好,那不是痴人说梦吗?面对找工作各方面带给我的压力,我急躁了,并没有像一开始那样的热血,纯粹的就是为了技术和兴趣去学习了。 正在这时,众人瞩目的乌云峰会开了,现场我是肯定去不了了,结束后,我一直关注着会场 ppt 等一些相关信息,在乌云社区发现了参会人员所做的 ppt ,赶紧打开看了,首先关注的肯定是猪哥的了,满怀激动的心情浏览了猪哥的 ppt ,干货满满啊!猪哥说打造一款自己的渗透测试框架,这个主意深深刺激到了我,我为什么不这么干呢?那天晚上激动到凌晨接近 3 点还没睡着!第二天一起床,就开始静下心来好好谋划这件事,自己擅长的是 python(碰巧猪哥的框架也是),用 python 写起来肯定会得心应手啊。 python 写框架,第一个想到的肯定是 sqlmap 了,这个余大大还强烈推荐要阅读源码来着,以前只是用了,但并没有去细细的品味源码,花了几天的时间,大概看了 sqlmap 的部分源码,才后悔为什么不早点读呢!写的真他妈给力!联想起了偶尔使用的 pocsuite ,哎呀,这感觉像是精简加扩展版 sqlmap 啊(因为之前读过部分 pocsuite 源码)。自己有多少斤两,自己最清楚,让我从头写一个框架,我真心是没有这个实力,原来我是打算以 sqlmap 为基础框架(因为里面很多轮子,已经给我造好了),现在这个 pocsuite 更合适,之后我在 pocsuite 的基础上准备开发自己的渗透测试框架用于学习,提高自己。但是 pocsuite 这个名字感觉不太适合,所以我改了,叫 penework(penetration framework),纯粹自己学习用,不用于任何的商业用途(应该没事吧),现在一直在往里面增加插件,自己的代码,或是 thirdparty
自己的主要经历说完了,现在马上就开始找工作了,网申很多也都开始了,虽然自己最想去的还是知道创宇,但是也知道自己的实力,毕竟 web 安全才做了半年,去知道创宇这样的公司是不大可能了。以后能力强了,走曲线救国也应该可以的。但是想去一些还行的乙方(或是甲方)公司,感觉自己的实力又不够,简历都没法写,我应该怎么办呢,我知道不应该这么浮躁,心急,但是毕竟面临着各方面的压力(对象家里催的比较紧),说不浮躁基本也是不大现实的。我这种情况,应该怎么找工作呢?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.