V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ns2250225
V2EX  ›  程序员

Python 开发想转 web 安全,大伙有什么建议啊 🎏

  •  
  •   ns2250225 ·
    ns2250225 · 2018-09-06 17:07:07 +08:00 · 4224 次点击
    这是一个创建于 2271 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2018-09-06 17:45:26 +08:00
    最近在研究 hack 别人机器的技术,比如用 Spynote 生成一个 apk,安装后就能控制别人的安卓手机了,用 nertcut 就能切断内网某个用户的 wifi 连接,用 Zanti APP 就能监控内网并实施中间人攻击,对这些很感兴趣,于是有了想转领域的想法。。。😀
    24 条回复    2018-09-07 19:37:37 +08:00
    javashell
        1
    javashell  
       2018-09-06 17:29:13 +08:00 via Android
    web 安全想转 python 开发有什么建议
    ym1ng
        2
    ym1ng  
       2018-09-06 17:32:41 +08:00
    web 安全转 python 开发的路过,不过我是被迫的 T T
    ns2250225
        3
    ns2250225  
    OP
       2018-09-06 17:32:46 +08:00
    @javashell 😂 Python 一般就是 WEB 开发,机器学习和数据分析方向,慕课网上面有许多不错的入门课程,可以参考下
    Greenm
        4
    Greenm  
       2018-09-06 17:33:02 +08:00   ❤️ 2
    还不就是 web 安全入门那些教程,白帽子讲 web 安全这些。

    如果底层基础好的话入门应该还是挺快的。
    ns2250225
        5
    ns2250225  
    OP
       2018-09-06 17:33:40 +08:00   ❤️ 1
    @ym1ng web 安全日常需要掌握哪些技能呀
    javashell
        6
    javashell  
       2018-09-06 17:34:16 +08:00 via Android
    @ns2250225 好的,多谢老哥
    ym1ng
        7
    ym1ng  
       2018-09-06 17:40:04 +08:00
    @ns2250225 web 安全入门还是比较简单的了 owaps top 10 那些东西光看原理就那么点东西 上手还蛮快的
    要往深了挖的话,还是看你想做哪一块了
    ym1ng
        8
    ym1ng  
       2018-09-06 17:42:10 +08:00   ❤️ 1
    @ym1ng owasp 手滑打错了= =
    ns2250225
        9
    ns2250225  
    OP
       2018-09-06 17:55:52 +08:00
    @Greenm 看我的附言,感觉我想往黑帽子发展= =
    Keyes
        10
    Keyes  
       2018-09-06 17:59:22 +08:00
    @ns2250225 黑帽子就准备好全家搬东南亚的准备吧
    feng1234
        11
    feng1234  
       2018-09-06 18:00:56 +08:00
    @ns2250225 不要做黑产,黑产真的很容易进去。做点灰产风险性小很多
    Greenm
        12
    Greenm  
       2018-09-06 18:08:37 +08:00
    @ns2250225 你附言里的跟 web 安全没啥关系啊,都是木马、后渗透这种,web 安全不是这些内容。

    如果你是只想玩这些的话,直接上手学工具吧,试试 metasploit 满足你的所有需求。

    工具玩熟了,了解自己瓶颈了之后再考虑学安全吧,毕竟安全门槛有点高,做好准备。
    giscafer
        13
    giscafer  
       2018-09-07 00:05:39 +08:00
    web 安全门槛很高,首先你懂前端,懂后端,懂运维,数据库就不说了,底层各种协议什么的……还有,前面只是说了 30%方面内容。
    Kp0n
        14
    Kp0n  
       2018-09-07 09:06:02 +08:00
    安全想转开发的路过,可以交流交流。
    ns2250225
        15
    ns2250225  
    OP
       2018-09-07 09:24:08 +08:00
    @Kp0n 请问为什么不想干安全了啊
    mnssbe
        16
    mnssbe  
       2018-09-07 09:28:20 +08:00
    script kiddie
    ns2250225
        17
    ns2250225  
    OP
       2018-09-07 09:32:10 +08:00
    @mnssbe 😂,现在只能涉及一些皮毛,想深入,但没什么方向
    scukmh
        18
    scukmh  
       2018-09-07 10:03:41 +08:00
    安全没饭吃啊。
    scukmh
        19
    scukmh  
       2018-09-07 10:04:06 +08:00
    当当兴趣就好吧。安全吃不起饭。
    onice
        20
    onice  
       2018-09-07 12:06:18 +08:00   ❤️ 2
    搞安全不好找工作,起薪没程序员高,相对薪资满意的话,对能力要求比较高。我以前找这方面的实习,很痛苦,机会太少了,后来还是做 Java 去了。

    真心喜欢的话,可以找个自己感兴趣的领域深耕。安全分好多细分领域的。常见的有 web 安全,移动安全,网络安全,反病毒,渗透测试。它们的侧重点都不一样.

    web 安全研究的是 SQL 注入,跨站脚本攻击这些。楼主可以看下 OWASP TOP10,这个上面写了 web 安全排行前十的威胁。要做好需要一些代码功底,要能看懂 web 代码,有个岗位叫代码审计,就是专门挖漏洞的,不能挖漏洞的都叫脚本小子(具体含义可以百度)。这个领域的人最多,目前也最火。

    移动安全主要是研究的目前市场上移动端的两个主流平台,安卓和 IOS,要做好需要懂一些逆向,要能反编译 APP,从中找到后门,或者是鉴定一个 APP 是不是木马程序。这块不多说,我也不太懂。。

    网络安全的话,就是研究一些协议了,常见的是 TCP/IP 协议,像 ARP 欺骗攻击,拒绝服务攻击,中间人这些都是网络安全的范畴。做网络安全,经常跟网络设备打交道,像防火墙,入侵检测系统。想做好也要对底层协议比较精通,要有网络设备的研发能力。例如出现一个新的漏洞,需要写一些检测规则。

    反病毒一般是指 PC 端的,就是我们常见的杀毒软件了。像反病毒工程师,就需要有反汇编的能力。要能分析可执行程序,并从中抽取出病毒特征码。

    渗透测试的话,要做好就需要你掌握比较全面的知识了,不要求你精通,但什么都要懂一点,基本上是上下通吃了。要能够掌握各种攻击手段和方法,渗透测试的目的就在于模拟黑客的攻击,来评估目标系统的安全性。

    国内的环境不好,乌云网也被端了,专门做安全的公司也很少,搬手指头都数的过来。做安全也经常背锅,大家对安全也不重视,对安全从业者的态度普遍是:没出问题,你是多余的。出了问题,要承担责任。

    有独立安全部门的公司也很少,原因也跟上面一样,大家对安全都不重视。

    另外,安全的水很深,比开发深多了,做开发比做安全更容易取得成绩。
    onice
        21
    onice  
       2018-09-07 12:14:16 +08:00   ❤️ 2
    @onice 补一句一位前辈说过的话:想征服高山,就去做开发;想征服大海,就去做安全。
    ns2250225
        22
    ns2250225  
    OP
       2018-09-07 15:02:43 +08:00
    @onice 😭感觉被暴击了,不过很感谢您的建议
    Kp0n
        23
    Kp0n  
       2018-09-07 18:43:28 +08:00
    @ns2250225 不是不搞安全啊,转开发也可以搞安全啊,而且是更高端的安全!无奈编程渣!
    exhades
        24
    exhades  
       2018-09-07 19:37:37 +08:00 via Android
    😂搞安全吃不了饭啊😂😂
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6105 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 06:13 · PVG 14:13 · LAX 22:13 · JFK 01:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.