风炫安全Web安全入门第一期课程总结
风炫安全Web安全入门第一期课程总结
我们第一期的Web安全入门学习,已经基本完成了,这节课我们来最后做一下总结。
这套Web安全入门学习是我从20年10月份开始,持续分享的一套课程,也是我第一次分享连续的课程,按照caoz的名言“输出倒逼输入”,可以看到我还有是很多的缺点,特别是说话比较快,这个缺点我现在会慢慢的克服,不过总的来说到今天也算是兑现了承诺,坚持下来了,做了一个完结,加上这节课总共课程分为50节课。
现在我把整个课程链接放到这里,提供给大家,很多人并没有看过之前的全部视频,那么今天我就这里集合发一下
笔记地址:https://github.com/fengxuangit/secnode
整理好了,放在这里送给大家。
在这里呢,还是简单再介绍下我自己,我的ID是:风炫,高中就开始喜欢研究安全了,大学打过2次线下CTF,运气不错拿了不错的名次,毕业后一直是在知名的网络安全公司工作,17年6月出来和朋友创业,做了一些互联网项目,有成功也有失败,目前是自由职业。
我一直做的都是后端开发,安全开发。目前熟悉的技术栈:
- PHP/Python/Java 这三门编程语言。
- Linux/Shell linux算是比较熟悉。《鸟哥的linux私房菜》
- Mysql/Redis 关系型数据库Mysql可以算得上是我的技能亮点。
- 略懂安全
因为17年6月之前一直在公司上班,所以都是用Python当作主要工作语言进行开发,17年6月之后由于和朋友开始做一些网络项目,我还是选择了PHP作为开发语言,其实对于中小型互联网应用来说,语言并不是限定性能的关键性因素。业务快速上线验证商业模式对于我们来说才是最重要的。
安全行业算是我的兴趣爱好,和一线红队人员经验相比,我肯定是有所差距。
于是在学习安全的过程中,我发现了以下几个痛点:
-
知识碎片化
现在安全文章,教程非常多,不过各个技术网站里面每个文章都是一个方向里面的细分技能,学习者如果天天在安全媒体上看技术文章会让自己整的相当焦虑以及迷茫。
-
信息检索困难
我估计大多数的红队测试人员在实战和工作的时候,都有在互联网上搜索某一种组件、CMS、Web容器和操作系统的漏洞或者漏洞利用程序的需求,根据这些已经发现的漏洞来测试自己的攻击目标,这一步的操作基本上都是会去搜索引擎搜索,目前中文第一的搜索引擎显然无法满足安全人员的需求。 -
信息难整合
目前安全媒体,如Freebuf,安全客,网安。这些网站都是非常不错的技术和资讯类,但是安全人员如果想了解媒体最新发生的技术潮流和事件需要辗转几个网站去浏览查看,比较费时间。
通过以上的痛点,我做了一个安全行业类的垂直搜索和信息整合网站https://evalshell.com,使用Django3.2+elasticsearch做搜索引擎
- 首页即为搜索,直接搜索关键字,出现相关漏洞文章。
- 全网文章收集全网安全相关文章,节省信息获取时间。
- 安全工具收集安全相关工具,节省找工具的时间。
- 安全专题整合闭环和系列的相关文章或者教程,防止学习碎片化。
当然,因为这个网站我刚做好还没多长时间,可能里面内容还不是非常完善,不过不用担心,我会在未来的时间里逐渐完善。
最后,如果大家感兴趣的话,我可以多写一些技术之外的东西,包括我创业时期的经历(17-18年创业让我少奋斗了20年,跨到新一线中产),和我目前的一些想法。