syclover
一个关于 信息安全的小作文, 包括信息安全的介绍了一些入门方向,cuit信息安全专业,三叶草小组介绍和招新。
tip
右侧有侧边栏,打开提纲,
pc端体验更好, 手机端点击左上角打开侧边栏。😉
这篇文章不断补全,有什么不对的地方,也希望师傅们能指认出来。
有什么不懂的,本身博客没准备做评论, 有问题直接在q群问,qq:🔽 点一下复制,
668990078
前排链接:
- name: cuit的信安
desc: “首先,直接回答这个问题——值得读”
link: https://www.zhihu.com/question/326575396/answer/711427871
bgColor: '#F0DFB1'
textColor: '#242A38'
- name: 在成都信息工程大学就读是怎么一番体验?
desc: “强基计划失意人、留学失败党速来抱团取暖“
link: https://www.zhihu.com/question/24913878/answer/1928661830
bgColor: '#f68c60'
textColor: '#f7f4ed'
- name: 关于信息安全
desc: 本文内跳转
link: https://lingze.xyz/pages/450f03/#%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8-2
bgColor: '#DFEEE7'
textColor: '#2A3344'
- name: 如何加入syc
desc: 本文内跳转
link: https://lingze.xyz/pages/450f03/#%E5%85%B7%E4%BD%93%EF%BC%9A
bgColor: '#DFEEE7'
textColor: '#2A3344'
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# 前言
首先可能和高中不太一样的东西,上课可能并不会有太多主要的东西, 因为技术永远会是不断前进的,而教学可能需要的是稳定一些不会有诡异bug的东西, 这也是上课学到的东西其实大部分,可能都已经很过时了。
因此很重要的一点在于自主学习,
于是另一个点, 很多人觉得自己不是信息安全专业的,就很难学信安的技术。这是完全不需要担心的, (毕竟都是自学-.-)。
# 信息安全
信息安全大概是什么样子的?
黑客?做外挂?刷qb?盗QQ号?
还是,与这些人做攻防,白帽子?
信息安全相关的技术,更象是修习一门武功。
tip
你学好了功夫, 是个习武之人, 以后做的事情可以是, 侠客、军人、 捕快; 也可以是盗贼、强盗、匪寇。
而习武之人,有大内高手,有绿林好汉,当然也有强盗毛贼。
这个群体有黑白之分。有用技术作恶的黑帽黑客,专注技术研究帮助厂商解决安全问题,维护网络安全的白帽子黑客。
# 信安就业前景怎么样?
先说说就业率叭,我们学校信安就业率是排在前三的的,就是说,只要学弟学妹们不混,好好学,毕了业都是有工作的。
在所有网络与信息安全专业毕业的同学中经过智联招聘的数据分析得知,其月平均工资约10600元,最低工资约4142元,最高工资为18000元以上,其中22.3%的同学选择在北京发展
我觉得还算是可以的
这里附上几篇文章,让大家更好地了解信息安全的工作:
# cuit的信安
那么我们 系由矮替 的信安又怎么样呢?
# 信息安全
# web安全
web安全最主要的,就是 ‘网络安全’ 了,我们先了解一下web应用程序:Web应用程序是一种可以通过Web访问的应用程序 (opens new window),程序的最大好处是用户很容易访问应用程序,用户只需要有浏览器即可,不需要再安装其他软件。 可见浏览器功能如此强大,安全漏洞也会很多,学习这些技术手段,进行攻击或进行维护。当然不仅仅是在web应用程序,内网(局域网)安全也很重要,这也是一个方向。
基础就是学习一些基础漏洞,入门不算难。(浏览器的使用,最好使用Firefox或者chrome)大家暑假可以学习基础漏洞,把DVWA(一个集成各种漏洞的平台)做一遍,sqli-lab前二十题做一遍(这个可以参考《MySQL注入天书》),网上有各种各样的学习web漏洞的平台,也有很多ctf靶场,都可以去做,找不到的话可以来问群里的师傅们。
l3m0n师傅(三叶草大牛!)的建议 (opens new window)
Syclover-web安全入门指南 (opens new window)
# 逆向
逆向工程源于商业及军事领域中的硬件分析。其主要目的是,在无法轻易获得必要的生产信息下,直接从成品的分析,推导产品的设计原理。 信息安全的逆向更多是 [ 软件逆向工程 ] , 在不接触源代码调试信息等生产信息的情况下, 从成品开始分析,获取程序的逻辑,进行破解或查找漏洞进行利用。
而从成品分析,即从一个写好的软件开始,比如一个exe文件,这个程序运行,一定会有代码被cpu执行了,因此我们可以获取这些并进行分析。我们通过各种手段处理这个程序,获取被执行的机器码, 反汇编成汇编代码,在工具帮助下还可以反编译形成类c的伪代码,并配合代码的静态分析、动态调试进行分析和理解。
入门要学会使用好工具和相关汇编和c语言,入门相对可能枯燥一些。想入手二进制的同学们, 可以翻阅加密解密4第四章, 然后着手使用ida od等工具分析题目, 在过程中调试和分析汇编语言,不会的语句直接搜索,这样入门更平滑一些。
Syclover逆向入门指南1 (opens new window)
Syclover逆向入门2 (opens new window)
# 密码学
这也是信息安全的一个大分支, 但不是密切的技术相关, 在ctf一直中占有独特的地位,因为玩的人极少,
密码学是一门数学和计算机科学交叉的学科,是信息安全专业的核心必修课。
如果想要入坑CTF密码学的话,必须要至少掌握一门编程语言和学习一定的数学知识。
Syclover密码学入门 (opens new window)
# iot
IOT安全属于一门交叉学科安全,基础能力
1.需要了解智能硬件的架构、工作原理。
2.需要熟悉常见二进制、App、Web、通信协议等各种漏洞及原理,可以先深入学习一个方向。分析固件漏洞,需要熟悉智能硬件的操作系统,如Android、linux、VxWorks、FreeRTOS等。逆向分析固件也需要掌握ARM、MIPS汇编知识、硬件开发基础知识。分析App漏洞,则要学习Android、IOS App逆向知识及漏洞。分析云平台漏洞,则需要学习Web相关安全知识。
3.分析通信协议漏洞,也需要学习常见的通信协议HTTP、HTTPS、Zigbee、蓝牙、websocket、XMPP、COAP、MQTT及网络数据分析工具burp、wireshark的使用。
可以根据自己特长,选一个比较熟悉的方向进行学习、研究。不用全部掌握,可以先挑一两个擅长的方向,先动手练起来,等掌握了一个方向后,再往其他方向发展。先搞自己擅长的,容易有成就感,这样比较容易继续学习下去。不要直接挑个硬骨头去啃,容易打击信心
Syclover-iot入门 (opens new window)
# pwn
二进制漏洞利用,还是很酷很酷的一个方向,
主要是linux下的的一个二进制程序和一个绑定了这个程序的远程端口,
通过逆向技术分析这个二进制程序,并找出漏洞,写出对应的漏洞利用脚本,攻击远程端口, 并通过这个漏洞获取出flag,
这个方向需要一定的逆向基础,需要在有一定逆向基础后学习漏洞,这里不给出入门链接等了, 先逆向手段扎实一些,在进一步学习漏洞。
# 具体
# 一些建议
怎么样学习信息安全技术呢? 百度贴吧,公众号都有说怎么入门,我这里简单讲一下 先说一下学习上很重要的问题:
1、先强调一下自学这个重要的部分。 学技术,学语言,自学能力很重要,等老师教,就太晚了。老师教你的技术都是最粗浅的,而你自学,能学到很多深奥的技术。老师一年教会你一门语言,而自己专心努力一个月就可以学会。而且自己实际操作很重要,学技术、语言看会了理论,不操作,等于白搭。所以还是那个问题,不管你在什么专业,都可以学习任何专业的技术,只要感兴趣就去学,别在意专业问题。
2、搜索!搜索!搜索!学习技术一定要习惯,熟练使用搜索引擎! 初高中让学生养成了遇到不会的问题就去问老师,问同学,这很好!而这样的方式来学安全,是欠妥的。遇到问题一定要要先去搜索:bing,Google,这些都是很好的搜索引擎,用他们,能解决很大一部分的问题。这里可以学习一下谷歌语法等搜索的语法。
3、问问题,也是一门学问。可以只询问关于思路的点, 很多时候我们思路都没有,连搜索什么都不知道,这就需要有人点一下, 这时候就应该要问了。而且不要老是问一些细节,因为很多操作细节,都已经有很多文章在写了,可以对照着比划。在问问题之前也想明白自己是哪里不会,整理一下自己的语言,在提问的时候一次性讲清楚,这样师傅们才能很快的get到你的点,回答你的问题。
4、不是学会一项再去学另一项。 大家入门的时候,或许觉得自己不会PHP,就想先把PHP学透了,在学别的,或许自己不会汇编语言,就去拼命钻研汇编语言。这其实是不好的学习方法,学安全,知识多而杂,往往是先学一个东西,发现里面有不会的,就去查,查了一个东西又有不会的,又去查,要是遇到一个不会的就把这个知识点完全弄懂,那学习肯定很慢,不过也不是让你们学的表面,这个度你们自己把握,有很多东西完全是可以同时学,这个弄懂一点,那个也弄懂一点。
5、买电脑。 我觉得学计算机,电脑是越早买越好,你会比其他人早接触计算机,这是你的优势, 历来就有很多暑假就开始学习的,而且上大学不是来打游戏的,不要为了追求高性能在寝室装台式,很不方便。当然,你财力雄厚又乐意和厂商交朋友,台式笔记本都买也随你。
6、关于程序环境。搭环境,是一个让人崩溃的事情,但是随着熟练度, 会越来越得心应手, 一个点是遇到有些完全没头绪且搜索无果的问题可以直接在群里问问, 另一个点是linux下的环境在很多时候比win下好搭, 这时候我们可以的选择:坚持在win配环境(搜资料问问题), 用wsl+windows-terminal(真的香),直接刷系统使用linux(推荐manjaro+i3wm),买一个mac(如果你恰好财力雄厚的话)。
7、怎么选择入门的着手点。如果不知道想学哪一个的话可以都尝试一下,先选一个学着,“如果不知道适不适合,那就去做,实践了就知道合不合适喜不喜欢。”
# 编程语言
也可以从计算机语言开始学 如果想学web安全 可以从'PHP'入手,如果你想学逆向 那就可以先从c入手。(但是并不是非得这些语言学很好很好才可以开始), 另外应该要学得还有python, 不管做哪个方向,最好都学习下python的脚本怎么写。
给大家几个学习语言的好网站:
菜鸟教程 (opens new window)(这个有在线环境,边学边写) W3school (opens new window)
B站也是个好地方,可以去B站找资源哦 C语言有个小甲鱼的视频 入门还不错
c的话,Dev-Cpp(Dev-c++),或者也可以用Visual Studio(以后做windows也会用,但是有点太大了),学校机房,老师上课会用Vc6++,也可以考虑vsc+gcc那种,vsc比较香。
其他脚本语言的话(php,python等等),可以用sublime/vsc,轻小方便,还有插件,python也可以用PyCharm。 Java的话,比较推荐用IDEA,插件丰富。
# 工具的使用
web: sqlmap,burpsuite,nmap,wireshark
二进制:Ollydbg,IDA, x32/x64dbg
这些工具都是比较常用的,大家自己去搜索,练习使用。
# 三叶草小组
成都信息工程大学一批热爱信息安全的学生于2005年创建的致力于信息安全研究的团体组织。
学长前辈们有人肉身翻墙,有人乐享成都蓉城的安逸,有人冲刺北上广,有人继续奋斗在安全第一线,有人开始带领更多的人接触互联网安全这项事业,有人走向其他领域,有人考研读博,有人结婚生子。
他们有他们不同的精彩人生,而在校的伙伴们,依然继续着努力向对安全领域望而却步的学弟学妹们讲解相关知识,引导更多的同学走进安全这扇门。
依然继续每周的分享例会,分享自己接触的技术难点,猜测女神为什么总去洗澡。一切依然在继续,什么都没放弃,下一个10年,我们变成前辈,前辈变成老前辈,三叶草依然还会在这里。
三叶草就是喜欢技术,热爱技术的人一起组成的学习小组,我们有技术大牛,我们也有技术萌新,但是我们都热爱技术,沉迷于技术,所以最终都会是强者。
三叶草技术小组招新,不分专业,不分年级:只要你够强、或者你是个小白,但是足够热爱技术,有一定的学习能力,就有机会加入三叶草小组!
我们平时一起钻研技术,一起分享技术,互相解答疑惑,闲时一起娱乐,一起聚餐,学时认真学,玩时放肆狂嗨! 我们也会有很多比赛,很多资源,总之!加入三叶草一定不会让你失望!!!
三叶草招新群
这里👇👇👇👇这里 三叶草的部分证书
招新群:
# 加入三叶草小组
其实,三叶草没有那么高大上,只不过是一群热爱技术的师傅们凑在一起,探讨、研究、分享技术罢了;他们没有也多厉害,只不过是比你们多学了几年,再加上夜以继日的学习技术,挥洒无数汗水,换来的结果罢了;他们的成就,也只不过是努力的果实。相信学弟学妹们如果象他们一样努力,会有更好的成就!
那怎么样才能加入三叶草?
tip
感兴趣,有毅力,够努力!
从你了解到,并想要加入到syc开始,一直持续的长时间的学习,
大概十月左右,忘记你已经是一个很强的人,保持谦虚的心态, 来面试。
# 具体:
首先看完这个文章,应该对于信安有个大体了解了,然后赶快加群哦! 进群可以联系学长/管理员等,当然,说明自己是新生也会有学长来了解一些关于你的情况,
学习路线的话肯定要先选择一个方向去学习, 在没有选定方向可以先学python和markdown语法做笔记,选定方向后和学长说明一下,或者在群里询问找到对应方向的师傅,
然后下一步带新人入门等,都会分不同学习方向了,
tip
简单说:
大体了解信安 => 看完本文+链接等
找到组织 => 加群加群加群
开始慢慢了解并确定一个学习方向
和学长说明自己选择的方向,这样下一步等分给你一些任务啥的,
开学以后正式招新会有一个CTF比赛(极客大挑战),这个比赛是为了帮助,引导新生学习技术,可以了解一下什么是CTF比赛。
buuoj (opens new window)和攻防世界 (opens new window)是ctf的平台,可以尝试做一下,当然如果不会做的话,可以去找一些WriteUp(解题方法,思路)。
ctf是对于信安技术学习比较不错的, 在带新人入门的时候, 小组也会在下一步有对应任务等,也是对于ctf赛题的学习。
tip
在没想好一个想学的方向的时候:
--- 这时候可以学python + markdown 这是任何方向都要用的,
--- --- 这里可能需要的搜索的:先是最开始可以用在线环境 (opens new window), wsl怎么使用,wsl安装ubuntu, ubuntu换源,ubuntu安装python, typora, markdown语法笔记,python入门,windows-terminal安装,坚果云同步, vscode, sublime,
--- 然后可以每个方向都看看,找到想学的嘛,
# 另外一点:
如果对信安真的感兴趣,考不上信息安全专业也没关系,学习技术都是要靠自学,很多技术大佬都不是信安专业。
学校有信安技术小组,像道格,三叶草,包括信安的实验班(这个是在大一下的时候可以选择的),都是对全校招生的,如果你没有进到信安,去加技术小组可比进了信安专业有用。
还是那句话,只要你有热爱技术的心,去哪都是一样的~
再多嘴一句,赶快加群, 快上车!
