V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
harry890829
V2EX  ›  C

普通 c/c++程序员怎么进入安全行业?

  •  
  •   harry890829 · 2015-08-19 08:45:14 +08:00 · 2266 次点击
    这是一个创建于 3382 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前是一个普通的 c/c++程序员,实际开发经验将近 1 年半,负责呼叫中心系统的开发,期间独立编写:
    1.win 下呼叫客户端( codeblocks+wxwidgets )
    2.win 下两个监控端(两种权限, codeblocks+wxwidgets )
    3.Linux 下 MySql 服务端(客户端不与 mysql 数据库直接连接,作为客户端与数据库消息的处理)
    4.接手前领导留下的 Linux 半成品电话服务器与半成品状态服务器,了解代码架构后,对新需求进行修改

    在接手全部项目一个月左右时间,独自一人将此项目推行上线,遗憾的是,因为忽视了一个乱码问题,导致服务器在将近一个月的时间才稳定下来。

    以上是小弟这一年半的主要开发经验,其中也覆盖了 Linux 与 win 两大平台,现在麻烦问下,想要进入安全行业应该向什么方面学习

    第 1 条附言  ·  2015-08-21 10:07:36 +08:00
    那个……其实我也想问下,我这个能力的话,大概值多少月薪啊……现在的公司挺蛋疼……
    29 条回复    2015-08-21 10:32:14 +08:00
    Septembers
        1
    Septembers  
       2015-08-19 08:55:24 +08:00 via Android
    安全领域太大您想怎么玩?
    wy315700
        2
    wy315700  
       2015-08-19 09:00:16 +08:00 via Android
    安全有 信息安全,网络安全,系统安全,工业安全。
    你想玩哪一块
    yanchao7511461
        3
    yanchao7511461  
       2015-08-19 09:00:27 +08:00
    我也想,想学逆向
    duobei
        4
    duobei  
       2015-08-19 09:05:23 +08:00
    找一个靠谱的人带你。
    LedChang
        5
    LedChang  
       2015-08-19 09:14:55 +08:00
    坐标哪里?或许我能推荐
    goodallan
        6
    goodallan  
       2015-08-19 09:16:21 +08:00
    逆向分析
    undef404
        7
    undef404  
       2015-08-19 09:23:33 +08:00
    学习逆向相关技术,然后投简历进相关公司
    RIcter
        8
    RIcter  
       2015-08-19 09:29:31 +08:00
    《 0day 安全》
    《恶意代码分析实战》
    《加密与解密》
    《 C++ 反汇编揭秘》

    然后刷 pwnable.kr ,各种溢出、 UAF 、 FSB 等等漏洞的利用
    最近在玩 binary 结果不会 C 很亏, sad stroy..
    acros
        9
    acros  
       2015-08-19 09:53:24 +08:00
    安全行业? 是指进 360 、玄武实验室那种岗位方向的?
    luoqeng
        10
    luoqeng  
       2015-08-19 10:06:15 +08:00
    进游戏行业吧! ^^
    leeyiw
        11
    leeyiw  
       2015-08-19 10:34:53 +08:00
    可以从安全开发做起,找一份安全开发工程师的工作吧。
    harry890829
        12
    harry890829  
    OP
       2015-08-19 10:42:58 +08:00
    @Septembers 呃……其实我也了解,看到 @wy315700 说,有这么几大分类:信息安全,网络安全,系统安全,工业安全。突然感觉好迷茫的样子……
    harry890829
        13
    harry890829  
    OP
       2015-08-19 10:43:32 +08:00
    @duobei 呃……靠谱的人么,说实话,并不好找
    harry890829
        14
    harry890829  
    OP
       2015-08-19 10:44:48 +08:00
    @LedChang 坐标魔都……我知道自己的水平还是不行,主要是想知道自己还需要提升哪些
    harry890829
        15
    harry890829  
    OP
       2015-08-19 10:46:22 +08:00
    @RIcter 多谢,提供书名,看到大家都强调了逆向的重要性,我会努力提升自己的逆向水平
    harry890829
        16
    harry890829  
    OP
       2015-08-19 10:47:05 +08:00
    @acros 是啊是啊,起初就 yy 过进阿里巴巴安全这样的……
    harry890829
        17
    harry890829  
    OP
       2015-08-19 10:47:33 +08:00
    @luoqeng 游戏……前段时间有个中介找我说给我推荐游戏的 c++开发……我拒绝了……
    harry890829
        18
    harry890829  
    OP
       2015-08-19 10:49:03 +08:00
    @leeyiw 我想先提升自己,然后直接找个靠谱的……要是一切都从头开始,貌似也太浪费时间了……
    TakanashiAzusa
        19
    TakanashiAzusa  
       2015-08-19 10:52:39 +08:00
    c++的话就是客户端程序逆向这个方向吧。。有先天优势。。像 WEB 狗的话就只能刷刷 xss 了。。
    wy315700
        20
    wy315700  
       2015-08-19 10:54:37 +08:00   ❤️ 1
    @harry890829

    其实,除了国家安全,安全在互联网这一块,市场并不大。

    安全永远是一个附属产物,公司做大了,产品做大了,或者出了事,然后才去考虑到安全。公司一个亿,可能拿 200 万做安全,公司 100 亿,可能拿 2 亿做安全。
    公司 100 万的时候 不可能在安全上花钱。
    (以上是一个安全从业人员原话)

    目前市场最有利润的是工控系统安全,传统的工控系统在设计的时候完全没有考虑到安全,所以这一块等于是个空白。
    harry890829
        21
    harry890829  
    OP
       2015-08-19 10:55:01 +08:00
    @TakanashiAzusa 多谢了,看到大家都推荐我逆向,这样我就有方向了,不需要自己一个人迷茫了
    harry890829
        22
    harry890829  
    OP
       2015-08-19 11:00:50 +08:00
    @wy315700 看到这个我先去科普了一下什么是“工控系统安全”,大概看了一下,大概有了一些了解,我会在项目服务器上试手,来尝试一下分层控制权限等问题
    weizn
        23
    weizn  
       2015-08-19 11:31:40 +08:00   ❤️ 1
    做逆向的话岗位少吧?看楼主去什么样的公司了,直接奔向较大的互联网公司或信息安全类的公司可以学,但学这个也确实难,有 C 语言基础是比较好,但更重要的是要熟悉汇编。此外你也可以偏向渗透测试方向,这个方向的话岗位还是较多的,非信息安全类的公司也会招人。最后吧,其实这个行业的部分人不是拿公司里那些死工资的,胆子大的人做做黑产或灰产利润大到让人眼红,不过我当然不是推荐楼主这么做了。
    还有个问题是楼主为什么不好好搞开发,突然想转安全这个行业呢?看你问题描述中过度的居然那么快,此外转行是有风险的。
    harry890829
        24
    harry890829  
    OP
       2015-08-19 11:38:37 +08:00
    @weizn 怎么说呢,算是向往吧,从小就一直很感兴趣,也一直想做,安全方面肯定也有开发吧……毕竟软件都是要人来写的嘛。开发也是很好啦,但是不知道向哪方面走,现在都是在 c 和 c++混用,其实写的代码不伦不类的,又不是纯 c ,也不用 c++的高级特性,大家一般开发的时候,都是怎样的啊
    virusdefender
        25
    virusdefender  
       2015-08-19 11:50:36 +08:00
    web 安全简单些

    逆向 溢出之类的二进制安全难一些

    国内还是 web 安全最火
    harry890829
        26
    harry890829  
    OP
       2015-08-19 12:14:11 +08:00
    @virusdefender 看来 c/c++也就是朝着二进制走啊……
    wdlth
        27
    wdlth  
       2015-08-20 00:38:58 +08:00
    @harry890829 如果你有好的 C/C++基础,可以深入学习汇编,走偏向于二进制程序的逆向,了解缓冲区溢出、拒绝服务等漏洞,学习使用 Fuzzer ,了解编译器和操作系统的一些防护措施等。

    每年国内外会出现很多 CTF 活动,如西电 CTF 、杭电 CTF ,你可以去看看他们的 Writeup ,了解是怎么分析的。

    做逆向的知识面要很广,假如再多做几年 C/C++,有数年的积累,对编译器、操作系统和汇编有更深入的了解,才会有比较大的收获。

    当然你想做 WEB 安全也可以。
    harry890829
        28
    harry890829  
    OP
       2015-08-21 09:39:55 +08:00
    @wdlth c/c++也能做 web 安全?还是说重学啊……
    harry890829
        29
    harry890829  
    OP
       2015-08-21 10:32:14 +08:00
    @LedChang 那个……其实我也想问下,我这个能力的话,大概值多少月薪啊……现在的公司挺蛋疼……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   981 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:29 · PVG 04:29 · LAX 12:29 · JFK 15:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.