大家好,經常會遇到有人會去問這個問題,而對於剛入門安全的同學來說也確實是一個避不開的話題。
這說這個話題之前,我們嘗試來解析這個問題的目的:
1、知識面擴充套件:獲取最新的安全資訊,瞭解圈內、行業內的動態
2、技術進步:獲取最新的安全事件、漏洞、技術應用
3、分享交流:參與相關技術、事件討論,分享交流技術、意見
主要是分為這三個方面的目的,那麼我們就從這三方面說說:
首先是知識面的擴充套件,瞭解圈內、行業內最新動態
這裡建議大家在關注國內安全動態的同時也多關注國外的動態,因為往往很多行業的新方向、新動作經常性的來自國外,國內很多時候一些廠商動作經常是一種學習,當然國內也有很多領先的動作,都應該兼顧;很多安全公司的一些動態、動作可能更多的是一種自我宣傳,選擇性關注;不要漏掉對一些新的安全產品的關注,儘可能的去了解背後涉及的技術點。
其次是技術進步和分享交流
不管是學習追求技術進步或者是想要去參與分享和交流,表達自己的觀點,分享自己的技術點,本質上其實都是尋求技術上的進步和獲取認同感,引發討論。那麼想要尋求技術的進步,可能更多的還是取決於自己的學習路線,主動去獲取學習一些技能,比如參與安全課程學習、閱讀一篇經驗心得的文章,還有比如說為了寫一篇技術文,可能會涉及到不同的知識點,那麼是否自己都掌握並且能解釋清楚?是不是該去補充某個方面?還有比如跟蹤分析最新的漏洞,檢視別人的漏洞分析、入侵溯源分析,學習別人的思路和方法,這些都是尋求技術進步的方式。
不過除了學,重要的還是做
很多人在看別人寫的東西的時候很容易產生這樣一種感覺,就是看完文章,覺得自己都懂,其實自己早就瞭解並且碰到過,只是沒有總結成一篇文章或者正好沒看到這個點,再者就是自己其實早就有個這個想法,覺得別人的算不上什麼新思路,但往往覺得自己會的,在遇到實際的問題要解決的時候,就會忘得一乾二淨,根本想不起這些東西或者不懂得怎麼去做;所以更關鍵的是,除了看,還要去練,去做。
至於分享和交流,對於初學者來說,首先分享的角度,不要怕自己分享的東西比較low,任何你覺得可以總結的東西都可以分享,分享除了把自己的思路、總結分享給他人之外,其實也是一種複習和查缺補漏,就像剛才說的,寫一篇文章,你才會知道自己有哪些點其實掌握的並不是那麼到位,那麼就需要去補齊。多寫,多記錄,總不會錯。
而交流的話,初學者建議還是多看、多聽、多問,另外就是大膽提想法,不用怕被人鄙視,你是初學者,你有這樣的權利,反而對於行業內一些老人,有時才會說去顧忌自己問的問題太low顯得自己不懂。但實際上,不懂就是不懂,沒什麼的。大膽的提問和提自己想法才能很直接的得到自己想要的答案,驗證自己的想法是否正確,是否完善,不然如果只是自己單純的靠自己去獲取答案,去驗證,需要付出很多倍的努力。
以上就是從三個方面的一些建議
那麼講完這些,又該去哪去獲取這些需要的東西呢?去參與交流呢?
有幾個途徑:
1、訪問安全媒體、技術分享平臺獲取資訊
2、加一些行業、圈內的人、群,關注一些公眾號,那麼可以透過朋友圈、群裡、公眾號分享的內容獲取資訊
3、關注牛人的微博、Twitter
4、關注一些不錯的部落格等
5、註冊成為現存不多的一些技術論壇和社群會員
6、參與行業內的活動(沙龍、安全會議等)
我們分別從這6個渠道展開說下,同時也給大家提供一些具體的方式
安全媒體就不用多說了,不管是國外還是國內都少不了一些安全媒體,可以獲取第一手的資訊,但由於更新、資訊來源等各方面因素,不同媒體之間可能針對不同方面的資訊更新及時度不同,建議可以多關注幾個;而這些安全媒體一般除了個別是純粹的只更新新聞事件,大部分的同時也包含一些技術文章。
我幫大家整理了一些好的安全媒體的資料,放在影片下面,供大家參考:
國內的主要有:Freebuf(freebug.com)、安全客(https://www.anquanke.com/)、安全牛(http://www.aqniu.com/)、安全盒子(http://www.secbox.cn/)、指尖安全(https://secfree.com/)、安全脈搏(https://www.secpluse.com/)、破殼學院
(pockr.org)
國外的主要有:
https://thehackernews.com/、http://www.ehackingnews.com/、https://www.hackread.com/、https://www.securityweek.com/等
對於資訊類的,這裡推薦http://hackernews.cc/,這個平臺主要是聚合了各方的安全資訊
另外,偏技術類的比如:
91ri(http://www.91ri.org/)、secwiki(https://www.sec-wiki.com/)、Seebug Paper(https://paper.seebug.org/)、烏雲drop(網上可以找到映象網站)、破殼開殼(pockr.org)
還有一些專業性的比如漏洞平臺:
www.seebug.org、https://www.exploit-db.com/、http://seclists.org/、http://0day5.com/、https://packetstormsecurity.com/
http://cve.scap.org.cn/、http://butian.360.cn/等
第二個渠道是加一些行業、圈內的人、群的,關注一些公眾號
怎麼去加一些行業、圈內人的微信等,就需要大家各展神通了,其實跟後面會講到的參加活動、加群等一般都是相輔相成,因為一般也是透過參加活動現場新增或者透過群裡的成員列表去新增。加了一些人的微信好友後,你會發現,一些新技術、新的行業動態、活動都能在朋友圈大概瞭解的差不多了。
而加群的話,建議大家可以先從一些SRC、技術網站的群先加起,一般各個SRC都有自己的白帽子群,你只要到平臺上提交漏洞,很容易就能加入這些群,相信加的這些群已經足夠你去了解很多東西,隨著你深入行業,你會慢慢的加入更多的群。但這麼多的群,大部分都是扯淡的,能碰到多少質量相對比較高的群,更多的時候看運氣或者自己的篩選。
這裡針對加好友和群,需要說的一點是,大家需要注意適度,特別是不要去在群裡發一些廣告、或者比如群發什麼幫忙投票朋友圈第一個文章啥的,這種很容被拉黑,提問題之類的也先自己Google下,等等諸如此類,就是不要製造垃圾資訊,不要對別人,特別是一些大牛造成干擾。
再者就是一些公眾號,一般大部分的SRC也有有公眾號,不過比較有乾貨的大概那幾個,這裡給大家分享一些公眾號:
網安雜談、破殼學院、皮魯安全之家、京東安全應急響應中心、360Netlab、i春秋、騰訊玄武實驗室、雲鼎實驗室、懶人在思考、盤古實驗室、騰訊安全應急響應中心、Seebug漏洞平臺、DJ的札記、全頻帶阻塞干擾、網安誌異、張三丰的瘋言瘋語、qz安全情報分析等
公眾號比較容易獲取一些大牛們新的思考和分享,有助於提高自己的安全觀。
第三個就是關注一些大牛的微博、Twitter,其實原因是類似於第二點,往往最新的東西都來自於這些大牛或者大牛關注的人,透過關注大牛的微博、Twitter,可以透過他們原創、轉發的微博瞭解一些最新的事件和技術點。那麼如何去關注大牛的微博呢?
這裡有個小竅門,從你瞭解的一兩個大牛關注起,然後去看他們的關注列表,一般他們關注也是你需要關注的人,可以點選他們關注的人進去看介紹和歷史發的微博和推文,然後在關注。至於如何去找那開始的兩三個,這裡我就不做推薦了,推薦誰都不合適,大家如果想踏上這條道路,去找一兩個開始需要關注的大牛的微博、Twitter這點能力還是需要具備的。
第四個,關注一些不錯的部落格。這點主要是為了獲取最新的技術和技術應用。這裡可能和結合上面的情況來展開講,比如在安全媒體的上會有一些人分享技術文,在作者的個人主頁也許就有他的部落格地址;再者,一些朋友圈看到的技術文章,也許就是來自哪個部落格的;還有微博、Twitter上關注的大牛,個人主頁也許也填寫有他們的部落格,來源有很多。
當然,不是所有都關注,需要根據自己的學習方向、關注方向做下篩選,然後還要靠部落格的更新頻率,比如我的部落格,萬年基本不更新的,就沒什麼值得關注的,再者就是文章質量,擇優關注。這裡注意不要關注的太多,過猶不及,關注太多我估計大家也看不過來,儘量選擇貼合自己學習方向的。
這裡分享下COS的RSS列表,大家可以作為一個參考:
cos的rss列表http://evilcos.me/evilcos_rss_2014.opml
第五點就是註冊成為一些技術社群、論壇的成員,目前國內僅存的不錯的技術社群/論壇已經不多,推薦幾個:
https://www.t00ls.net/ 吐司建站已經很久,國內保留下的為數不多的幾個技術論壇之一
https://pockr.org/
https://xz.aliyun.com/
https://bbs.ichunqiu.com/
二進位制方向的同學還可以關注:
https://www.52pojie.cn/
https://bbs.pediy.com/
註冊成為社群的成員不是主要目的,主要目的還是透過社群學習到東西。
最後點,參與行業活動,比如沙龍、安全會議等,這是一個比較直接的渠道去認識圈內、行業內的人,也是一種好的線上交流方式,同時也可以瞭解行業內的一些最新產品動態、技術方向等。
其實渠道肯定不僅僅是以上的幾種,以上介紹的幾種渠道和給的例子都是幫助大家快速的透過這些渠道來達到建立獲取安全資訊和技術的方式,更多的渠道其實大家在學習安全的過程,會慢慢的接觸到更多,自己也慢慢的會去總計和篩選這些渠道,來使得自己獲取的資訊的質量越來越高。
希望可以幫助到大家,幫助大家快速的獲取最新的安全資訊和技術