onice
2021-03-31 10:03:03 +08:00
出现这个问题,是因为你学的东西都是孤立的知识点。就跟背英语单词一样,孤立的单词没有上下文,很容易忘记。
要解决这个问题,建议你直接干 ctf,或者是找靶场直接搞。先自己思考,然后再看答案。如果答案中的知识点都会,应该思考自己为什么没有运用起来。如果有知识点不会,就立马学习。
安全技术应该在实战中学习,并且每一个环节都是一环扣一环的。当孤立的知识点有了上下文,在完整的攻击链中学习技术,是很难忘记的。
关于深度和广度,应该追求深度。这个社会是细化分工的社会,你只有在某个领域比其他人强,你才会有竞争力。如果你什么都知识知道一点,意味着什么都做不好,拿什么和人家比呢?当然,这里是指的领域,并不是知识点,不能说精通 xss 就行了。选择自己感兴趣且看好的领域,长期发展,比如 web 安全,并不是说精通 xss,sql 注入就 ok 了,你应该精通所有的 web 漏洞,除此之外你还的学一门编程语言吧,挖洞得自动化吧,最重要的是还得有挖掘 0day 的能力,比如你审计一套代码,不会编程看不懂代码又怎么能行呢。
我遇到的问题几乎和你一样,我以前是甲方方向的,现在想做渗透方向,就自己买了网课学习。我也出现了你一样的问题,看了后面忘了前面,而且实战中想不起来。后来课程中提供十四个靶场,我就直接搞靶场。一套搞下来,前面涉及的知识点自然就掌握了,因为每一个步骤都是攻击链当中的具体一个环节,知道每一步的前因后果,下一次遇到同样的环境,也知道该怎么搞了。并且心中有了完整的攻击链,自己开始思考如何防御,作为防守方如何反制之类的问题了。
总之还是得实践。