提一下新手常见的两个误区。
首先要提到新手常见的两个误区。
- 以编程基础为方向的自学误区:
- 行为:从编程开始掌握,前端后端、通信协议等各方面都学习。
- 缺点:花费时间过长,实际安全过渡后可用到的关键知识并不多。很多安全函数知识甚至名词都不了解。
- 以黑客技能、兴趣为方向的自学误区:
- 行为:疯狂搜索安全教程、加入各种小圈子,盲目学习各种黑客相关内容。
- 缺点:学习知识点分散,重复性强。代码看不懂、讲解听不明白,一知半解的情况时有发生。花费大量时间后才发现学习内容与其他知识点重复。
最简单粗暴的学习路线是直接网上搜视频教程。但是这样会让新手很迷惑,不知道该先学哪个。解决方法是先借鉴,然后找适合自己的学习路线和视频教程。
回归正题,如何学习?我们规划出从零基础到黑客大咖的体系化学习体系。零基础新手的第一步是了解Web前后端基础与服务器通信原理。第二步是学习当下主流漏洞的原理与利用,如SQL、XSS、CSRF等。第三步是学习当下主流漏洞的挖掘与审计复现,尝试复现前人挖掘的0day漏洞。
具体学习步骤包括搭建环境和实战学习。不推荐直接做CTF,而是建议选择适合的靶场进行练习。此外,进行SRC实战,挖真站,交漏洞,验证漏洞利用能力。从技术分享帖学习漏洞挖掘类型,搭建环境,复现漏洞,思考挖洞思维。
以上是我们实验室及教务团队经过9年安全教育总结出来的宝贵经验。
