作为即将进入安全领域学习的小白,读完Goole Project Zero成员, Ivan Fratric的名为“So you want to work in security?” blog (http://ifsec.blogspot.com/2018/02/so-you-want-to-work-in-security-and-for.html[](https://)) 后,了解一些对于如何进行安全学习甚至今后从事安全工作的一些建议,对此我有些自己浅显的感想,以此为自己今后的学习提个醒。
当遇到不理解的事情时,不要放弃。这一点对于新手很重要,特别是在刚开始和阅读各种资源时,会遇到很多不理解的名词和内容。对此,我觉得要有选择性的跳过,同时在查询了解这些内容时事实上是对自己知识储备和学习能力有所提升的,有些实在暂时无法理解的内容我觉得是可以暂时跳过的,但这不意味着彻底抛开,过段时间回顾可能就有了新的理解。下面这句话给我留下很深的印象:
博主推荐在安全学习中利用twitter的原因,一是很多厂商和大牛在发布一些新的进展和技术时,喜欢在twitter上先发布,对于我们了解一些前沿是很好的途径;另外就是twitter也可以作为一些资料查询的地方,甚至你可以与相关领域的人士进行交流,也是很好的学习方法。
CTF竞赛很好的一点是可以作为循序渐进学习的一个方法,不至于让新手一开始就萌生退意,同时不同的题目侧重点不同,能对自己不足的方面更好的查漏补缺。但是同时要明确做题的目的和前提,做题是为了扩展思路增加实战经验;而做题的前提是要夯实基础,不为了做题去做题。
前面我们说要学会独立解决问题,但这不意味着不去和别人交流,问问题。但在此之前,我们要先学会培养看问题的角度和方面,保证这些问题是有质量的。我认为能提出有意义的问题,首先要对这个问题要有宏观把握,明确关键节点所在,这也是要在实践中去培养的,下面是博主的一些tips:
1.How does this piece of software/hardware I’m interested in work? What technology it is based on? Is there source code I can read? Tutorials? Books? 2.Did someone already manage to break this piece of software/hardware I want to break? Did they publish writeups? Exploits? Conference presentations? Do I truly understand what they did?