@
tianzi123 完全看书学,要看好多,效率挺低的,因为网络安全的东西比较杂。
比如学前端,不外乎 HTML ,CSS ,JS ,外加一些主流框架。
比如后端 Java ,不外乎 Spring 全家桶。
而网络安全呢。从信息收集,到漏洞评估,再到漏洞利用,再到控制目标主机,一整条攻击链路,涉及的东西太多了。
比如域名爆破,得知道 DNS 。比如 SQL 注入,你得懂 Web 安全。遇到一些防护设备,还要想办法绕过,这背后都是对基础和原理的考验。这些都还是初级水平的东西。
如果做高级攻防,还涉及到红蓝对抗的东西,涉及的东西就更多了。比如业务服务器集群处于内网,有些复杂的架构还有好几个层次,如何一层一层攻进去,拿到最核心的数据,同时还要避免安全设备和软件的报警。曾经和网警合作过,打掉了涉案资金上亿,银行卡数据上百万条的博彩团伙。攻防活动往小了说可以是公司之间的安全服务,往大了说可以是国家之间的网络对抗。
如果要去大公司自己的安全部,保护雇主企业的安全,而不是面向其他企业专门做安全服务的公司,信息安全制度,ISO 那一套东西也让人挺头大的。不信的话,你看下 CISSP 的书有多厚就知道了,比编程的书都还砖头。这种公司,很多都是管理大于技术,很多人都是技术做腻了,去这类公司当管理。
也有一些人对技术细节更感兴趣,这类人去做安全研究了。比如我们所熟知的 Struts2 ,JBoss ,还有前段时间的 Log4J 漏洞,都是这帮人研究出来的。某培训机构培训安卓逆向,承诺月薪 3W ,写进合同的这种承诺。
我自己的心得是,做安全比较吃基础。推荐计算机科班生,如果你满足这个条件,对攻防或者是研究感兴趣,可以来试试。
做攻防可以从小迪的课程开始学起,先让自己能够会渗透测试,再望高级攻防和红蓝对抗的方向发展。B 站有免费的课程。
如果想去企业安全部的同学,可以关注下农夫安全的公众号。农夫安全也是一家培训机构,现在创始人不想做了,打算把课程完全开源,正在筹备,可以关注下。