前言
从事渗透测试工作已有数年,回想当初,自己也是从零基础小白开始学起。在这期间摸爬滚打,遭遇过服务器被黑、网站遭受 DDoS 攻击、数据库被篡改等安全事件。服务器并非你想不让别人上就不让上的,因此 IT 安全这个话题比较沉重,涉及面很广。只有了解得更多,才会发现已知的安全知识其实只是冰山一角。
梦想的开始
我是一名半路出家的渗透测试工程师,目前仍处于工作与学习并行的阶段,我的渗透之旅也才刚刚开始。几年前,我还躺在大学宿舍里,因为毕业考试和毕业证发放间隔了一个月,同宿舍的舍友都选择回家。没有目标、站在人生十字路口的我,选择了留守。
原本热闹的宿舍楼,在那一个月迅速降温,恢复到刚开学时的状态,似乎在准备迎接下一批学生。那时候的我,没有能力,没有追求,是一个妥妥的新世纪三无青年。如果当时有人告诉我,一年后我可以整天工作清闲,还能拿着俯视大部分同龄人的工资,我绝对会一笑而过。现在的生活,对过去的我来说宛如梦幻一般。而废物生活的终结,来自于最好朋友的一个电话。
清晰地记得,那天的排位赛我连续输了一天。关闭电脑后无聊地躺在床上,用手机刷着视频网站。突然,一个电话将我从床上拉起。
'朋友,我打算重新捡起以前的梦想,去做网络安全,你要跟我一起吗?'
'网络安全,是什么?'
'通俗点来说,就是不做坏事的黑客。学习的技术、做的工作,都差不多。'
'这个我没接触过啊,学不会咋办。'
'放心,这个入门不算很难的,只要学,就可以拿特别高的工资。'
'好,我跟你一起。'
轻飘飘的几句话,就决定了我未来的走向。回顾这一年的经历,虽然我经历的事情还不算太多,但我可以肯定,我做了这辈子最正确的一个决定。可能我运气比较好吧。
荆棘之路
可能是我对这位最好的朋友了解还不够多,也可能是我还以为自己处在一个可以被家长、学校庇护的状态。刚开始学习的前一段时间,我的表现可以说是差强人意。闲散四年的我,哪怕在一次酒局后明白自己没有任何可以仰仗的东西,但还是无法迅速进入学习状态。
网络安全的基础技能我一无所知,甚至连网络的基础知识都知之甚少。索性,挖掘漏洞的过程在当时的我看来十分有趣,这也是我目前唯一可以仰仗的东西。
每天三个小时学习,我觉得自己十分努力,一个月时间便掌握了大部分 Web 漏洞的挖掘原理。虽然并非每个漏洞都能有自己的实例,但当时的我却开始了自得。或许,我就是小说里面说的那种天才吧,不管什么东西,只要看看就会了,当时的我这么想。
直到当头的一盆冷水,来自朋友的一张 CNVD 证书。作为跟我同步学习的人,或许是他之前就有基础,或许是他每天暗自付出的努力,在我还在为能够挖掘野站漏洞而自得的时候,他就已经发现了某 CMS 的通用漏洞。
(PS:走出学校了就不要再抱着你那可笑的学生思维了,那玩意只会拖慢你的节奏)
但那时候的我,虽然备受打击,却依然没有任何醒悟。只是重复地想着一件事,他本来就比我强,我实力本来就不如对方。久而久之,养成了一种破罐子破摔的坏习惯。
而那段时间的学习进度,是我学习过程中最慢的一段时间。或许我还是有些太天真了,这也造成了我现在基础不稳的情况。前期的自由学习时间,现在能记忆起的不多了,每次回忆,只有朋友为了帮我进入学习状态而发生的争吵。可能,我最好的运气是有这个朋友吧。
猴子和老虎
三个月的学习时间很短,在我还没反应过来的时候,他所在的大学开学了。闲人一个的我,开始在这个陌生的城市里一个人游荡。数不清多少次看着街边逐渐亮起的夜灯,看着路口的车流,直到每辆车的尾灯在我的眼前连成一条线。
那时候,是我第一次开始考虑自己的未来。
审视一遍自己,我没有显赫的家世,甚至游戏人生的我,在某种意义上已经被当做了家庭的累赘。没有任何工作的能力,却又眼光甚高,看不起工地里做苦力的民工,又被坐办公室的白领看不起。每次考虑的最后,我都会想到同一句话。或许,我羡慕和看不起的那两种人,都看不起像我这样的废物吧。
依稀记得,转变的前一晚,我喝了很多酒。多到我的周围都是铝制的啤酒罐。但那个时候,可悲的我才发现,原来我唯一可以得到慰藉的酒精,都无法将我从旋涡里拯救出来。
第二天,我跟朋友告别,转身来到了一家安全培训公司。我学习的时间不算长,但也并非毫无收获,在同期的学员里面,我很快成为了人人口传的大佬。只是每次听到这种称呼,我的嘴角总会勾起一抹苦笑。
'没有见过老虎的人,才会把猴子当做山里的霸王。'
可笑的是,我是那个猴子,而我,见过真正的老虎。
谁还不是个天才呢
培训的六个月里,我过得很快活。没有朋友的步步紧逼,没有整天昏天暗地的学习,没有刷个视频看美女都胆战心惊的生活,让我过得十分充实。但每次当夜深,只有我一个人还没睡的时候,我总会看着夜空,伴着阵阵汽车的轰鸣,回顾自己今日的学习。
我真的学习到东西了?没有!我真的喜欢这样的生活吗?喜欢!我真的想这么颓废下去吗?不想!
这是三个问题,我询问了自己很多遍,但因为中间的肯定,我久久没有更改自己的习惯。而我唯一的仰仗,则是我的天赋,计算机方面的天赋。
别人看十遍的文章,我只需要看一遍就可以知道重点。别人挖十遍的网站,我去依然能找到漏洞存在。别人看不出问题的脚本,我能一针见血地发现问题的所在。
这是我所仰仗的东西,也是我最引以为豪的东西,我认为我靠着天赋就可以超过绝大部分人,而剩下的部分,哪怕努力也难以望其项背,就干脆不去想了。直到有一天,培训里出现了一个比我更闪烁的新星,他能挖到我不敢去碰的 SRC 漏洞,他能刷到漏洞平台前一百,他能去知名大厂。而他,在两个月前还是我看不起的存在。
