管理员
|
阅读:2457回复:0
2013年,如何成为网络安全界高手?
楼主#
更多
发布于:2013-01-12 16:15
 | |  |  | 如何成为一个网络高手 这是来自国外某BBS的帖子。
总而言之,就是如何在安全领域内成为一个有影响的人。
1.从哪里开始?
我的观点可能和一般的看法不同,如果你刚刚起步,我建议你不要从Technotronic ,Bugtraq,Packetstorm,Rootshell等站 点开始,没错?不要从那里开始(尽管它们是很好的站点,而且我的意思也并不是 说不要去访问这些站点),原因十分简单 ,如果你以为通晓“安全”就是知道最新的漏 洞,到头来你将会发现自己一无所获。我同意,知道什么地方有漏洞是十分必要 的,但是这些并不能够为你的高手之路打 下坚实的基础,比如,你知道RDS是最新 的漏洞,知道如何下载并使用对这个漏洞进行利用的Script工具,知道如何修补这 个漏洞(也许,很多人只知如何攻击,不 知道如何防护),可是,3个月后,补丁漫天飞舞,这个漏洞已经不存在了......现在 你的那些知识还有什么用?而且你可能根 本没有理解对漏洞的分析。 你应该学习的知识是什么?是分析?还是 攻击手段?这是我想要再次强调的,人们可能没有注 意,
的漏洞就是安全专家,NO!No!No!所有他 们知道的只不过是“漏洞”,而不是“安全”。例如:你知道有关于phf的漏洞,showcod e.asp的漏洞,count.cgi和test.cgi的漏 洞,但是你知道为什么它们会成为CGI的漏洞吗?你知道如何编一个安全的通用网关 程序吗?你会根据一个CGI的工作状态来判 断它可能有哪些漏洞或哪方面的漏洞吗? 或者,你是不是只知道这些CGI有漏洞呢?所以我建议你不要从漏洞开始,就当它们 不存在(你知道我的意思),你真正需要做的是从一个普通用户开始。
2.做一个用户
我的意思是你至少要有一些基本的常规知 识。例如:如果你要从事webHacking,你 是否可能连浏览器都不会使用?你会打开N etscape,打开IE?很好!你会输入姓名, 你知道HTML是网页,很好,你要一直这样下去,变成一个熟练的用户。你会区别AS P和CGI是动态的,什么是PHP?什么是转 向,Cookies,SSL?你要知道任何一个普通用户可能接触到的关于Web的事物。不是 进攻漏洞,仅仅是使用,没有这些基础的 (也许是枯燥的)知识,你不可能成为高 手,这里没有任何捷径。好,现在你知道这里的一切了,你用过了 。你在Hack UNIX之前你至少要知道如何L ogin,Logout,如何使用shell命令,如何使用一般的常用程序(Mail,FTP,Web,Lyn x等)。 要想成为一个管理员,你需要掌握如下基本的操作。
3.成为一个管理员
现在你已经超过了一个普通用户的领域了 ,进入了更复杂的领域,你要掌握更多的知识。例如:Web服务器的类型,
的服务器有什么区别?如何去配置它,像 这样的知识,你知道得越多就意味着你更了解它是如何工作的?它是干什么的?你 理解HTTP协议吗?你知道HTTP1.0和HTT P1.1之间的区别吗?WEBDAV是什么?知道HTTP1.1虚拟主机有助于建立你的Web 服务器吗? 你需要了解操作系统,如果你从来没有配 置过NT,你怎么可能去进攻一个NT服务器 ?你从来没有用过Rdisk,用户管理器, 却期望Crack一个管理员密码,得到用户权 限?你想使用RDS,而你在NT下的操作一直 使用图形界面?你需要从管理员提升到一个“超级管理员”,这不是指你有一个超级用 户的权限,而是你的知识要贯穿你的所有 领域。很好,你会在图形界面下添加用户 ,在命令方式下也能做到吗?而且,system32里的那些.exe文件都是干什么的?你 知道为什么USERNETCTL必须要有超级用 户权限?你是不是从来没有接触过USERNETCTL?不要以为知道如何做到就行了, 要尽可能知道的更多,成为一名技术上的领导者,但是......
你不可能知道所有的事情。
这是我们不得不面对的事实。如果你认为 你可以知道所有的事情,你在自欺欺人。你需要做的是选择一个领域,一个你最感 兴趣的领域,并进一步学习更多的知识。 要想成为一名熟练用户,成为一名管理员 ,成为一名技术上的领导者,直至成为某一个领域中最优秀的人,不是仅仅学习如 何使用web浏览器,怎样写CGI就行了,你 知道HTTP和web服务器的原理吗?知道服务器不正常工作时应该怎样让它工作吗? 当你在这个领域内有一定经验时,自然就 知道怎样攻击和防护了 这其实是很简单的道理,如果你知道所有的关于这方面的知识,那么,你也就知道 安全隐患在哪里。面对所有的漏洞(新的 ,旧的,将来的),你自己就能够发现未 知的漏洞(你这时已经是一个网络高手了 )你找漏洞可以,但你必须了解漏洞的根源 。所以,放下手中的Whisker的拷贝,去学 习CGI到底是干什么的?它们怎么使通过HTTP的web服务器有漏洞的?很快你就会知道到底Whisker是干什么的了。
4.编程语言
在所有被问的问题中,最常听到的就是:“ 你认为应该学习什么编程语言?”我想,这要看具体情况了,如你准备花费 多少时间来学习?你想用这种语言做哪些 事?想用多长时间完成一个程序?这个程 序将完成多复杂的任务? 以下有几个选项。Visual Basic 一种非常容易学习的语言。有很多关于这 方面的书,公开的免费源代码也很多。你 应该能够很快地使用它。但是这个语言有一定局限,它并不是诸如C 那样强大,你 需要在windows下运行它,需要一个VB的 编程环境(不论盗版还是正版的,反正它不是免费的)。想用VB来编攻击代码或补 丁是十分困难的。
C 也许是最强大的语言了。在所有的操作系 统里都存在。在网上有上吨的源代码和书是免费的,包括编程环境。它比VB复杂, 掌握它所需花费的时间也要比掌握VB多一 些。简单的东西容易学,功能强大的东西 理解起来也要困难一些,这需要你自己衡量。
Assembly 也许是最复杂的语言,也是最难学习的语 言。如果你把它当作第一个要学习的语言 ,那么将会难得你头要爆裂。但是,先学会了汇编,其余的编程语言就变的很容易 。市场上有一些这方面的书,但这方面的 教材有减少的趋势。不过,汇编知识在某些方面至关重要,比如缓冲溢出攻击。
perl 一种很不错的语言。它像VB一样容易学习 ,也像VB一样有局限。但是它在多数操作平台中都能运行(UNIX和windows),所以 这是它的优势。有很多这方面的书籍,而 且它是完全免费的,你可以用它来制作一些普通的攻击工具。它主要用于一些文本 方式的攻击技巧,并不适合制作二进制程序。
| |  | |  |
|
