最开始的启蒙在小学偷跑网吧,听到同学说可以免费上网,大概就是网吧万象计费软件的一个bug,可以由智能ABC down掉,该bug屡试不爽,最后以被网管叫出去谈话告终。后来在初中流行3389,1433抓鸡、qq盗号木马、灰鸽子远控,逛过黑基论坛,中国红客论坛等等那时最迷的就是抓鸡,貌似随便一款软件就能盗取QQ号,下了不少申称过全球XX款杀软,其实带后门的远控。。。。在家鼓捣了半天也没成功(那时候一直没弄明白内外网的关系,家里内网导致无法上线)。再后来上了大学,选择了网工专业,也算是跟安全走在了一条大道上。不得不说,对于网络安全这个典型的交叉学科,有学校中学过的tcp/ip,数据结构,计算机组成原理等在理解上还是有那么点帮助。
同时学校里的兴趣小组让我知道了网络安全这个分支,第一本入门书籍是 <精通脚本黑客>,前几章看的还行,后面越看越懵逼,于是就想找志同道合的人一起沟通。最开始是想到了qq群这个途径,再后来在网友的推荐下开始逛i春秋,复现各种cms漏洞,顺便再看看漏洞的原理,主要看php的,像二进制到系统级别的cve原理就放了。自己搭建各类环境,进行攻击。熟悉metasploit,DVWA演练环境,来帮助自己理解。加入过一些安全群,看乌云镜像(心痛没有经历乌云时代),freebuf,技术博客等这类,再然后荣幸的加入土司。所以回到标题,能坚持下去其实是件不容易的事情。
一方面来说看书看久了,看得懂还不错,若是看不懂只能在脑海里面留下一些印象。时代在变,技术也在不断更新。想当初玩上传漏洞,又要使用网鲨抓包,又要通过hex截断,最后还要用nc来传,简直在如今的burpsuite面前弱爆了。所以我们不得不主动提升自己的段位,见招拆招,做安全混个圈子不断交流是学习十分重要的因素。坛子里大多都是志同道合、又有实力、又热心的老哥。每天在看看坛子里的文章,再将自己实战中的疑惑、学习中总结的知识拿来分享,收集坛子里大神分享的工具以致用,用过xuehei大神的TV.exe,用过test404的fuzz test,风在指尖精彩的xss绕过,bypass的bypass等等,从一开始懵懂的脚本小子,到自行上手编写exp等小脚本工具,可以说坛子里的老哥都是我学习的榜样。。。。不幸错过了乌云时代,正好遇见土司,土司的主题"低调求发展,潜心习安全"已经成为我学习乃至个人成长方面的座右铭。
希望和大家一起不忘初心,学无止境,以下是近期看的一些书籍,与大家共勉。