來自:信安之路(微訊號:xazlsec)
俗話說“堅持就是勝利”,可見想要獲得最後的勝利是需要堅持,而堅持並不是一件容易的事情,在堅持的過程中會出現各種各樣的情況來打斷你,誘惑你放棄堅持,而如何堅持到底,對於每一個最終成功的人來說都有自己不同的方式,我們今天就來聊聊我的一些感受。
從我學習安全開始到現在這幾年裡,可以分為幾個階段:
1、大學期間,初入安全行業
2、畢業後的第一份工作,深入一個安全方向
3、辭職後進入甲方工作,不斷擴大知識域
在不同的階段學習的方式不同,遇到的問題也不一樣,下麵就分開來說一下。
入門安全
這個階段最容易產生迷茫,不知道該學什麼,如何學,總想有個大神帶帶,經常會看到這個階段的人在網上找師傅、加好友、加入各種組織、混跡各大論壇等。為什麼會有這樣的想法?
因為學安全難啊!看著別人在網路上,SRC 平臺挖了多少洞、CTF 比賽得了多少名,到自己這裡想搞一個站卻無從下手,題不會做、洞挖不出來,急呀!想著有個大佬能指點一二,自己就可以打比賽、挖 SRC 刷洞啦,說實話,這個想法很天真。
這個階段每一個人都會經歷,我以前參加學校的 CTF 比賽,自己卻啥都不會,就在各大 QQ 群問題目怎麼做,希望能有人幫忙解決,可是有多少有心人會幫你?就算幫你,也不可能代替你去參加比賽,只能指點一下,當你基礎為零的時候,即使指點了你,你也未必能理解。當初做一個 ctf 題目是關於 sql 註入的,而題目設計時將一些常見的關鍵詞進行了過濾,無法直接使用工具跑出來,當初我連 sql 註入是什麼,怎麼玩都不知道,更別提過濾了之後怎麼玩啦,當初就請教了一下別人,而得到的答案是過濾了一些關鍵詞,雖然得到了提示,但是還是不知道該怎麼辦,然後繼續追問,得到的安全是過濾了空格,可是我還是不知道怎麼辦,再問人家,只能跟你說 key 了,真實菜到了極點,最終透過學習,根據提示尋找資料,在學長的帶領下搞定了。
從這個例子中可以看出,在你沒有基礎或者沒有學習相關基礎的情況下,即使有人幫你,給你一些提示,你也未必能解決問題,所以問問題之前,要自己先對要問的問題進行學習和研究,將自己的研究成果記錄下來,實在解決不了,把你的整理的結果連同問題一起提出來,既方便前輩幫你定位問題,也方便你解決問題。
說了這麼多,也沒提堅持的事情,學安全是我的本科專業,將來是要靠安全謀生路的,無論如何是不能放棄的,但是不放棄是一回事,大部分時間用來學習是需要堅持的,每天堅持學習安全和上課學習安全是兩碼事,前者主動學習、後者是被迫學習,最終的結果大家可想而知,自然得到的成就不一樣。那麼如何做到每天堅持學習呢?
人是需要激勵的,做一件事能否長久,在於能否不斷找出自己的標的,長期的標的是方向,短期的標的成就感,成就感的來源也是需要不斷變化的,比如最初搞滲透,第一次拿到網站的 webshell,成就感非常強,當你拿第一千個 webshell 的時候,你還有當初的感覺嗎?當然沒有,早就習以為常啦。當你可以不斷找出短期的成就感來源時,那麼你這件事就可以一直做下去而不會覺得枯燥。
我當初的成就感來源有:
1、安全對於我來說是一個陌生的領域,對學習這個領域下的任何技術都有新鮮感,隨著不斷的學習新鮮感慢慢退去;
2、沒了新鮮感怎麼辦?參加 ctf 比賽獲得名次,當初是在學校的比賽中獲得過一等獎的;
3、拿了最高的獎,再去參加也沒啥意思了,然後在網路上尋找標的進行實戰,獲得網站的許可權;
4、拿下過標的之後,同樣的操作也沒啥意思,然後就加入了 90sec 邊學習邊分享,得到更多志同道合的朋友認可,成就感油然而生。
5、畢業之後找一份好的工作,比如大廠 bat、乙方龍頭企業等
滲透測試
在學校的階段主要是打基礎,基礎在什麼位置,那麼你畢業之後得到的機會就在什麼位置,為什麼有的人畢業之後去了 bat 這些大公司,有些人去了乙方企業的龍頭,而有的人連工作都不好找,這就是因為在學校的時候為專業付出的努力和時間不同導致的。
我當初第一份工作簡歷都沒用,大三下學期就被人選擇了去實習(貌似是邀請了兩個同學被拒絕了,我是第三個邀請的,因為前兩個確實在安全技術方面比我好,比我學習安全的時間長),然後一待就是四年。
這四年間一直在做滲透測試,包括:web 安全、內網安全(主要),大學期間學的最多的是 web 安全,工作之後主攻內網安全,在這個階段的成就感來源就是能在工作中體現自己的價值,比如:
1、收集標的相關資訊,找到入口,突破邊界進入內網時的快感
2、進入內網之後,拿到內網最高許可權之後的成就感
而這些做的多了,自然就沒有當初的那種快感,久而久之,就想著出去做一個與現在不同的工作,比如將自己的滲透測試經驗應用都甲方企業的安全建設當中,防止駭客的攻擊。
甲方安全
辭職之後來到北京,由於沒有甲方工作經驗,去甲方做滲透測試,我也不大感興趣,最後拉勾給了我這個機會,雖然是以安全工程師的身份進入的拉勾,但是做的事情幾乎是主導,做任何事情都是由我來提出併進行落地,在這個過程中,不只是技術上的提升,還有思維方式的變化,從一個技術點到整個知識面,從整體上思考安全,而不是單個點。
這裡的成就感來源就是經過不斷的學習,找出公司安全的薄弱點,提出安全整改方案,並將方案落地,這個過程中的點點滴滴都是新鮮的,落地之後發揮了一定的作用,這都是成就感的來源。
由於在拉勾幾乎是我一個人在做安全,也沒有人可以交流,只能透過網路與一些志同道合的人一起交流,所以信安之路是我一直以來最大的成就感來源,每天需要不斷的學習、不斷的成長才能為大家分享一些經驗、技術等,現在都已經成為習慣,一天不學習,就會感覺空落落的,只學習不會帶來成就感,而分享出來,得到大家的認可也就得到了成就感,這也是我一直堅持下去的理由。
我目前的想法就是要做有意義的事情,信安之路的標的就是分享資訊保安技術提升大家的技術,能夠有人因為信安之路而原創文章並分享,這也是信安之路存在的意義,希望各位與我一同堅持下去,做一個有價值的人。
總結
不管學習什麼,做什麼領域,能夠一直堅持下去,是需要理由的,能不斷的給自己找出短期堅持學習的理由,那麼你就能一直堅持下去,你的堅持也一定會給你帶來回報,無論是金錢還是名譽,為了讓你的學習不那麼枯燥,積極分享自己的所學所感,得到大家的認可,引起大家的討論都是一件有意義的事情。