学习新知识,要明确三点:学什么?如何学习?第三,及时复习。基于这三点,本文重点研究信息安全学习过程。在新知识的学习中,首先要做的就是明确学习目标,有了目标才知道自己该往哪里走。但是对于新人来说,在没有指导的情况下,定义目标的步骤会比较混乱,所以个人建议如下:
根据OWASpTOp10文件中总结的漏洞类型设置目标。然而,其中一些项目相当复杂,需要在这一点上加以区分。区别将在下一部分解释。其次,白嫖培训机构的课程设置。这是我看别人分享学习经验得到的。原则上我不建议培训机构的教学大纲可以帮助快速确定学习目标。不管是线上还是线下培训机构问他们有什么课程,他们都不怕。第三,网上导读文章学习。网上的介绍性文章大多是因为推荐中有细分的知识点,所以文章中没有明确的学习点。因此,这篇文章对于最初的目标设定并不重要,但是你必须参考文章中推荐的书籍来帮助你设定目标。
小知识点
了解了应该学习的知识点之后,对于这些知识点应该从哪些方面入手呢?这些经验都是我在良哥读书时总结出来的主要有三点:第一,漏洞产生的原因。如何利用这些漏洞?三、如何防范这些漏洞?——原则上用——辅导学习。
如何学习?老问题,标准答案对搜索引擎当然好。搜索漏洞的原理、利用方式以及如何防御获取详细的知识内容,优秀的社区如T00ls、Prophet或freebuf、security guest等门户网站都有不错的文章。问题解决后,知识内容变成了实用的东西,但对于初学者来说,环境永远是最难解决的问题。有人建议先在Windows虚拟机上使用phpstudy,再结合dvwa这种综合性的基础漏洞平台来学习。一方面是因为环境简单,在环境中不容易碰壁;另一方面,因为环境中的漏洞是非常基本的,我们可以有效地看到成功并保持学习的兴趣。但是接下来,我们必须再次手动构建linux系统下的环境,以加深我们对网站架构的理解,并知道组成网络应用程序的部分。这可以帮助您找出各种漏洞的问题所在。当综合脆弱性学习完成时,就是特殊脆弱性学习。毕竟综合漏洞是比较基础的。要把学过的知识点练得更深,需要更具体的环境和靶场推荐。
在研究这些漏洞时,需要加强基础知识,比如对编程语言的学习,对各种协议的学习等等。在学习了基础知识和漏洞之后,可以考虑尝试在实际场景中进行测试,或者在CTF锻炼自己。由于我处于这个阶段,我无法为这些内容提供有效的帮助。真实漏洞挖掘在学习CTF的同时,关注一些最新的漏洞趋势或老板们关于漏洞的研究文章,积极开始重新学习相关漏洞。这个学习会很杂,所以要把学习内容分类,这样才能对自己的知识有一个结构化的认识,知道自己的不足,方便我们检查和填补空白。
其实这方面没有什么特别的办法,但是我们要坚持自己。但是,如果你看完自己的文章后感到羞愧,或者不能冥想,可以记下每次查阅资料的地址,然后学习这些资料的内容。也希望自己安定下来后能多花点时间总结分享。如果你想测试你的网站或应用的渗透率,你可以去SINESAFE,鹰盾安全,启明星辰, 绿盟等。