hth华体会体育全站app:当时网络与信息安全专业并不火而且本专业的学生许多都挑选非安全公司为什么知乎上黑客劝退文屈指可数?

发布日期:2021-08-31 | 来源:华体会登陆入口 作者:华体会官方登录

  调android kernel要编译一整套android源码和kernel,在mac上折腾了三天没编译出来,终究切虚拟机编译出来了,大约不到100G吧,要调其他版别android的还要再编译100G。

  就算都装好了,调exp是调不出来的,断点都断不下,只能调调poc,理解下原理,大约懂一点的姿态。

  最近有调linux kernel的主意,然后发现要拉取调试符号,用串口做双机调试,等我配好了再回来更新linux kernel调起来是什么样。

  之前挖了一个kernel的0day attack,安全级别是High,影响了一切依据Kernel的体系比方Android。然后Google就给了2500刀的奖金,我还不是做信息安全的,仅仅搞体系趁便做安全……所以我觉得安全的大牛应该赚得更多。

  某种意义上我觉得安全这个工作,门槛不低,可是入了门,钱多多,乐意付钱的也多,搞钱的门道也多,但条件是你不能混,混是混不来钱的,不像AI这些风口工作,混一混调调参数搭搭积木也能混到钱。跟我协作搞那个安全项目的一个女生,每天从早上九点十点到晚上十二点,连着几个月挨近半年,都扑在Linux Kernel的研讨上,看源码做运行时剖析,我都自惭形秽。终究咱们用半年时刻挖到两个CVE,其间有一个底子是她独立发现并挖出的,这种水平缓意志去什么地方做信息安全都能够吃的开。

  再比方做隐私维护,昨日跟国内某大厂的一个做内部东西的团队开了个会,是关于跨国数据和不同客户数据的隐私维护,要求透明化,不影响已有的事务逻辑。满意这些要求,并能建立一套齐备的底层体系,至少需求对云核算的Access Control,Information Flow Tracking,还有Differential Privacy都有深化了解。这个门槛仍是很高的。

  第一点,许多人会把安全大体上分为两大部分Web安全和二进制安全。二进制安全方面,难不难,需不需求劝退,其他答主说的很好了,但Web安全就简略吗?来自某大佬

  说真的,在Web安全中,只能跑跑东西调用人家写好的脚本getshell后还觉得自己很牛逼的脚本小子,底子到终究都会被挑选掉。因而,说真的安全这范畴门槛诚心不低。

  第二点,以Web安全l为例,浸透测验是粗茶淡饭,在某种程度上与某法是打擦边球的,因而不或许去盼望校园里的教师会去教学生怎样黑网站,而且说真实的许多校园的网站办理/运维并不咋地,缝隙找一找仍是有的,所以校园怎样会挖自己坑呢。二进制方面,国内有大学开了这门课,材料在网上也找得到,这个赞,不过受限于国内的核算机教育体系,咱们需求学完一大堆比方高数思想教育啦啥啥啥的,底子上专业课是在大二或大三开端学习,而二进制安全的门槛或说所需的根底常识较多,底子上开端下手二进制安全的时刻点现已是在大二或大三,而间隔大三的实习时刻现已不多,敢迎接应战的勇士不多咯。

  不过,我仅仅说不多。其实跟着CTF竞赛的打开,仍是有许多童鞋很早就触摸了相关的常识,挺好的,持续加油。

  第三点,大众的网络安全认识不高,或许对网络安全本来就没放心上。一方面自己不明白,另一方面身边人的劝退,许多人会挑选从事比方开发作业,产出产品,作用可见。不过要感某些的开发者,假如没有这些写缝隙的人,咱们诚心没饭吃。除了代码上的缝隙外,怎样表现没有安全认识呢?咱们以Github为例,自己写的一款东西:

  有多少开发者直接把邮箱/暗码泄露在github上,success表明是能够登陆成功的。

  所以说不需求劝退。乐意在安全范畴里持续斗争的会一直斗争,现已抛弃的自会去寻觅其他出路,不了解的并不想知道这是不是一趟浑水。

  开端进安全圈子一半是由于小时分的愿望,一半为了装逼,然后我又回忆了下为毛小时分会有这么个愿望,我特么发现那时分我便是为了装逼。

  然后我就学啊学啊,我也不知道为啥我能撑过那段暗无天日的初学者韶光,那个材料翻的,那个书买的,老刻苦了,我一度觉得,我高中这样必定能进清华(后来发现不或许)。

  然后学了一段时刻,我看一下周围的人,妈的,我必定是最凶猛的几个,能够装逼了,然后被三叶草小组给刷了,嘻嘻,真是凄惨

  这就涉及到第一个劝退,安全圈很小,即使想进的人许多,可是仍是很小,你看下自己周围,学安全的占多大份额,那么初学者瞎鸡儿学,你连个比照都没有,你底子不知道自己学得对不对,学到多少东西了,有时分过分自傲,又有时分太不自傲,尤其是现在网络上很盛行的两个:谦善式装逼还有装逼式降低,这恶劣的环境,你假如能在初学期间遇到个好人,他要是男的你是女的,你就嫁了吧

  这不被人刷了吗,那凭我的性情,不可啊,这还咋个装逼,那还得学啊,这儿有一个优点便是,你与真真实安全圈的人发生了一个交集,你和他们不再是网友,而是真实展现过自己的而且被对方给予了点评。那后边就略微好学一点点,便是他人否定了你什么,你学什么,现已从装逼暂时先下降到不争馒头争口气了

  后来命运好,加入了另一个小组,叫道格(道格安全技能小组了解下啊,这姓名咱们院长起的,我也不吐槽了),总算进了一个小小的圈子了

  那么这儿便是第二个劝退了,你没进圈子怎样办,那你就依然是静静学习,暂时归于天不收地不留状况,资源还不行,只能抹黑找,又不是码代码,你没发Debug,你不去展现,他人就不知道你的水平,你去展现,就又会有人嫌你,那该怎样办呢?凉拌,在梦里等着一个时机一举成名吧(妈的,这样想来,同届还有学弟里不少都是这么玩的,装逼作用几乎MAX啊)

  后边就感觉学到瓶颈了(屁的瓶颈,便是懒),那时分又特别不喜爱打CTF,由于我感觉自己的脑子不行用啊,而且内心里仍是回绝受虐式生长的(没有任何对CTFer的不敬,仅仅自己闲适惯了)

  第三个劝退来了,便是他人经过各种途径急速生长,而你处于原地踏步,你又不能够明晰的知道到,自己和他人究竟是什么距离了,不知道其他各位怎样个心态,横竖我便是烦躁,不知道该持续怎样弄,安全分支太多,怎样持续往下走?贪多嚼不烂和增广见闻关于普通人来说本就抵触。我周围不少人都在这时分弃坑了。

  我没退的原因这次也不是由于想装逼了,由于凄惨的发现,老子现在花了这么久时刻,逼没装到,还把自己搭进去了,我特么连弹吉他都不会啊,那怎样撩妹?来,妹子,我给你扮演下sql注入!!

  第四个劝退,圈子小,其他沟通少,别信那些技能牛逼长得帅还有女朋友的,就算你们全都是!!横竖我不是,我就没搞懂了,每天花那么久复现缝隙,debug,挖洞,剖析,你们怎样撩到妹子的??

  起步价3万,他需求去立项请求资金,然后招投标,草拟合同,整个流程下来1个月算快的(_ _)而他找我就5分钟,接下来安排供货商,中间商,约乙方,上门,半响搞定。

  我本来公司安全作业组浸透网站比我凶猛,可是,这儿有必要加一个可是(^-^)/

  而本来公司精干这事的就只要两个人,一个是我,一个是老板。而像我本来公司这种水平的,全国不到100家。

  画拓扑图一般有两种办法,一种用微软的专业拓扑软件visio,还有一种不是专业的。

  可是用得好也特别好用,那便是微软的PPT软件Powerpoint,传统的拓扑图一般比较简略,比方这样的:

  一般人看是看得懂,可是看起来就没那么舒畅,感受不到空间的力气。所以咱们现在一般画图都是用3D的作用来画,最底子便是这样的:

  用不同的色块把区域伪装阻隔开来,或许下面这种更为直接一些,相同的图,你依照这个作用画个一摸相同或许差不多的,一天能画完算我输。

  我能了解的便是和天网差球不多,行政级别局限于县/区罢了。所以我百度了一个做监控的公司,网站介绍有下图:

  但我能从里边看出你是有根底的仍是没有根底的,你是真聪明有天分仍是小聪明罢了。

  应聘的大约有200个,进入面试题的只要30个,我只留下了两个。这两个其实也是不合格的,离我预期差得太远了。

  可是我不留下就招不到人,招不到人意味什么破事都要我来做,所今后边也是持续招,由于即使后边我不开除他们,他们自己也会抛弃。

  不是我吹,国外500强公司的说明书也不必定有我这么八面玲珑,详尽,合适一切人。

  一般办理员手册几百页,一般看都不想看,我的一出手,人家会仔细的好好翻翻。

  安全范畴许多办法离不开暗码学,上一年我搞过一段时刻的Runtime verification,其间一个重要分支是以Verifiable ASIC代表的使用暗码学做安全验证的办法。读了几天paper跪了,抛弃。周围要是有个做暗码的能拉过来聊一聊加个co-author必定研讨打开顺畅得多。

  本年跑去quantify Information flow方向找创意,一个重要原因是这个方向许多理论来源于仙农信息论,我曾经做通讯的,仙农对我来说是老祖宗。

  半个月前组会刚做完总结,大老板忽然来了一句:你试试这办法用在meltdown上蹭个热度,后天咱们讨论一下。我:目瞪狗呆.jpg。也是,这会儿不蹭,半年后就凉了。这个视点上来说,安全上的作业是跟需求紧密结合来的,你去做安全的话出来作业不难找。比方现在火着的Fuzz和二进制安全(依据论文计算来看),需求都是很真实的。

  不劝退的原因很简略,由于题主你说到的这些问题,并不是“学习信息安全”导致的,而是“以过错的办法学习信息安全”导致的。

  我国现在在信息安全范畴的教育,课程设计真实是过于简略粗犷,直接把各种安全相关的课程凑在一起就硬拉一个专业出来了,底子上彻底便是个体面工程。归于那种国家喊着要建造网络安全强国,校园就闷头上去相应一波召唤趁便骗一波钱的行为。

  比方说题主你在标题中说到了暗码学,说你觉得暗码学很难,学起来难到溃散。可是暗码学归根究竟仅仅信息安全这个大类下的一个小分支啊,不管是缝隙发掘、逆向剖析仍是WEB安全,信息安全下面有太多类别底子不需求用到暗码学。依我之见,本科阶段浅讲一下使用暗码学就足够了,硕士生和博士生阶段才合适在这个细分范畴深挖下去。

  其实真实了解信息安全的人会知道,信息安全这个范畴涉及到的常识真实是太广了。假如把信息科学看作一棵大树,那么信息安全要应对的便是这棵大树投下的暗影。这种程度的杂乱内容,彻底不是独自一个“网络与信息安全”专业能够完好掩盖的,教育者也彻底不应该盼望一个普通人能够在本科阶段就生长为信息安全范畴的全才。

  我个人以为,一个有志于生长为信息安全从业人员的初学者,在入门时最短少的根底常识,不是详细的某个加密算法或某种进犯原理,而是视野。

  从信息科学的大树上,每一根枝干都有或许投下一片暗影,打开成一个详细的进犯方向。而初学者往往缺少对大局的知道和对进犯方向的嗅觉,淹没在汗牛充栋的根底常识里不知道该往哪里深化下去。终究每个方向都学了点东西,每个方向都不太懂。进了工业界才发现自己曾经学得那点东西底子都过期了,有必要从头花时刻进修。比方我曾经就见过一个在校园里学了一肚子溢出进犯底子原理,出来连ASLR是什么都不知道的小伙。

  而校园在培养信息安全人才,或许信息安全人才在自我生长的道路上,首要应该建立的也是视野。学生要先知道自己的方向在哪里,知道自己想要深挖的究竟是通讯安全、逆向剖析、仍是其他什么细分范畴。找到方向之后,就应该直接奔着工业界的规范干事,该打CTF打CTF,该提交缝隙提交缝隙,该编写开源项目编写开源项目。这样一来,才有时机一步一步成为一名愿望中的黑客。

  作为信息安全专业身世的安全人员,说真的我是理解题主在上学的时分发生的这种困惑的。

  就像在上大学的时分或许咱们都免不了被亲戚朋友问一句,你是学什么专业的,你学这个专业是做什么的?我想不管咱们是哪个专业的,在上学的时分也很难解说清楚自己专业的作用,以及未来或许从事的作业内容。

  就信息安全这一块儿来说,看到这四个字咱们自然会联想到‘黑客’,课程的设置或多或少也会涉及到一些侵略、或许理论如暗码学这种课程。那信息安全专业是不是便是学习怎样成为一名黑客呢?

  说实话除了屈指可数的信息安全专业课之外,高数、大物、模电,包含C++开发、数据结构、算法等等核算机通识课程也充满着咱们的课表而且占有绝对大都的学分。常常以为自己和近邻的核算机专业其实真的没有差异,现实也是本专业结业做安全的人屈指可数,转去开发的占大大都。

  这是信息安全专业学生和安全爱好者们最大的差异。谁说学这个专业就要喜爱这个专业呢。

  安全爱好者们来自各行各业、各个年龄段,那些成功的人在学习安全常识的时分一般会带着极大的爱好和一个方针,方针一般便是成为一名黑客,或许觉得很帅或许怎样的原因。有了这个方针,再去霸占路上的一个个难题,终究成为一名某一方面的安全专家、如web、如逆向等等。

  不知题主对信息安全的爱好怎样,我觉得假如爱好浓厚的话应该也不会来知乎提这个问题,不过也不是什么罪行,其实真实喜爱自己所学专业的人有能有几个呢。

  据我观察知乎上在信息安全论题活泼的,不管是发问的仍是答复的,都是安全爱好者。爱好者遇到爱好者,必定是互帮互助了,底子没什么劝退的。一般还会共享自己成功的阅历什么的。

  所以回到问题,题主所比较的信息安全专业学生,和想学黑客的小白以及鼓舞他们的老鸟。

  回想06年那会,信息安全专业有几家,作业空间又有多大?再看看现在,处处缝隙奖赏,处处CTF,以及各种学习资源和东西,使得许多白帽子有了更多合法途径去取得经济利益,技能展现和学习的时机。

  觉得不火或许并没有彻底进入安全圈(主要是触摸的人、事、作业状况等要素),之前问过一个信安专业的在校生,我问他乌云知道吗?他就蒙逼了,所以对工作不了解又谈何火不火呢?

  至于专业难与仍有一堆小白进入的问题,我觉得跟学习办法有关,校园都是体系化的学习,能够有时会单调些,不像外面的小白,拿个东西黑网站,弹个框拿奖金来得起劲,门槛低又很会见到作用,所以仍有许多人想进入这工作。可是,根底课仍是要学的,不然也仅仅像上面的脚本小子影响一下,然后打开受阻,渐渐就淡出圈子了。

  历史长河中,总会有人做挑选,也有人被挑选。而信息安全挑选并挑选后留下来的人,无一不是由于爱好,爱好使然,才干做好信息安全。

  下面说我观察到的一些现象。#注释:我校信息安全专业每年只招90人左右,括号中为感爱好/感爱好人数

  我报这个专业由于我仍是蛮喜爱的,而且我也对黑客攻防感爱好

  我最近学那个nmap和那个无线破解,仍是蛮有用的,今后走到哪儿,都有无线;表哥,你们怎样老是出去拿奖,什么时分也教教我打CTF啊

  代码我感觉我一点也看不明白,可是我觉得学好黑客东西就够了

  这是啥姿态?这是哪篇论文?这是哪个博客?还有这种操作?

  好了看见数据和大部分人的心态改变,我想你现已知道为啥信息安全专业不劝退了,由所以专业在劝退人,假如人再劝退人,好了那会熬秃顶的人就更少了。

  题外话:信息安全专业的学生并没有专业名那么凶猛233,由于大部分人直到结业也不知道究竟啥是信息安全,自己究竟学了啥

  为什么“伪生化”会有这么多人劝退?由于它看起来远景光亮,会有许多人“上圈套”挑选这个专业。然后搞研讨被导师坑,结业了找不到作业。

  为什么信息安全不必劝退?很简略,由于留下来的都是酷爱这个专业的,而且并不会“找不到作业”。你所举的很少人从事这个工作的比方刚好证明了并不需求劝退,由于感到自己并不喜爱这个专业的人会自可是然地改行,而且就算改行也底子能找到作业,究竟信息安全跟核算机是有很大程度相通的。而喜爱这个专业的人自可是然就会找到相关的作业。没有呈现“赋闲”的状况,为什么要劝退呢?

  由于搞软件,自己能够经过写出来一些东西,来带给自己一些虚伪的成就感,以为自己真的是大神了。究竟我能做这个做那个。其实都是改改他人源码,调个API,瞎搞一通。

  其实看到其他大佬说的,也真的蛮有感受,真的是不敢劝退,由于真的是,还没劝,他们就现已抛弃了。

  总结一下,便是,软件工作,好多人以为自己现已很凶猛了。可是信安这个工作,能进来门的,都是酷爱这个工作的,都希望能真实成为那种顶尖大神。

  现在你知道为什么不劝退了么?由于一切坚持下来的,都是宝物。求之不得。但,能坚持下来的又有几个。

  薪水不行。相同代码,安全研讨员用得脑子更多,没有开发薪水高。人越来越多涌入,会压中低底层薪资水平,便是导致一些会安全的技能可是不深化的人面对应战。

  尽管安全问题良莠不齐。许多方向现已有了一些深度,现在抢先一点的范畴和办法是挖内核和代码审计,有些刚更新出来就被审计。而且自动化发现的办法也在测验打开,比方符号执行,不知道下一步能怎样深化?而且新的问题是不会同等时期的新人追逐上来再去处理的,这些问题必定是留给现在这些人的。究竟核算机本便是一个进展很快的工作。

  没有几年功夫怎样会有必定的水平?奥秘的特性自身就吸引人,被方针扶持一下,被媒体拉出来做成片子,然后就成了热门。见过各种数学系的土木的乃至环境或许化学的在挖洞的,可是大都便是蹭热门,或许说是挖洞拔羊毛。之前是物联网,然后是安全,人工智能,比特币…

  功用和代码在是在开发的时分能够防止的。有些安全源于代码,也止于代码。比方一些更安全的编程言语,再配合一些体系上的安全战略,是能处理一些问题的。逻辑和战略上的问题,其实加强认识和审计也能够防止。不得不考虑要点在哪里。

  有时和创业圈差不多。搞一个风口圈点钱,什么评测认证来一波。搞个竞赛圈点名望,终究卖卖材料设备渠道。训练组织短期包装一个形似凶猛的人出来,实力也许是差强人意。

  终究说说那些人是什么心态。在知乎上有时会被约请答复一些相似有没有黑客大牛带我这样的问题。大都是骗子。或许卖一堆褴褛给你,你还快乐得要上天。你在知乎上谈网络安全,我觉得你真是抬举了它。大约一两年前某黑客席卷知乎,真是惧怕…

  个人也是持劝退的情绪。陶醉自己喜爱的东西,少说多做,谁要被扣什么黑客的帽子。感觉人才需求量有点虚,能够参阅二胎方针呼吁生育和实践养娃的问题。关于传统安全方向,新入门的人要很长周期才干赶上。穿插的方向,现有人才结合也能处理。搬砖挣钱的话,传统工作不是不挣钱。有些哥们转业了,比方货车运送或许厨师,也是月入上万,为难不…终究安利开发,虚拟国际的根源,还能丢个鸡肋BUG撩拨一下做安全的。(嘿嘿嘿…)

  终究说一点,所见从事工作同在校不相同学科的人员是不少的,各个专业都会有。

  校园每年会招2个班约80+左右的信息安全人才,咱们协会呢,每年面向信息安全、核算机等各类技能类学院招新,第一次吹嘘逼的时分,参与协会面试的最少有200+,近几年乃至有300+。

  带入门是一个艰苦的进程,尤其是开端的一段时刻,一个学期曩昔,这200最多剩不下50人。

  接下来的50人或许开端安全方面的学习了,要阅历各种学习、参与各种竞赛,花费无限多时刻投入到这个上面,又一个学期曩昔,这50人最多不会剩余10人。

  到这儿1年曩昔了,剩余的这些人,包含前面的那些人,其间有些人在学习前端或许开发的进程中,发现自己的爱好爱好不在于此,转行开发去了。

  底子上到了大二还能坚持搞安全的,底子上只手可数(当然有时分会多一些,有时分会少一些)

  所以,实话实说,这个工作门槛太高,许多时分不是不劝退,是不敢劝退,说退就退了