大家好,经常会遇到有人会去问这个问题,而对于刚入门安全的同学来说也确实是一个避不开的话题。
这说这个话题之前,我们尝试来解析这个问题的目的:
1、知识面扩展:获取最新的安全资讯,了解圈内、行业内的动态
2、技术进步:获取最新的安全事件、漏洞、技术应用
3、分享交流:参与相关技术、事件讨论,分享交流技术、意见
这里建议大家在关注国内安全动态的同时也多关注国外的动态,因为往往很多行业的新方向、新动作经常性的来自国外,国内很多时候一些厂商动作经常是一种学习,当然国内也有很多领先的动作,都应该兼顾;很多安全公司的一些动态、动作可能更多的是一种自我宣传,选择性关注;不要漏掉对一些新的安全产品的关注,尽可能的去了解背后涉及的技术点。
不管是学习追求技术进步或者是想要去参与分享和交流,表达自己的观点,分享自己的技术点,本质上其实都是寻求技术上的进步和获取认同感,引发讨论。那么想要寻求技术的进步,可能更多的还是取决于自己的学习路线,主动去获取学习一些技能,比如参与安全课程学习、阅读一篇经验心得的文章,还有比如说为了写一篇技术文,可能会涉及到不同的知识点,那么是否自己都掌握并且能解释清楚?是不是该去补充某个方面?还有比如跟踪分析最新的漏洞,查看别人的漏洞分析、入侵溯源分析,学习别人的思路和方法,这些都是寻求技术进步的方式。
很多人在看别人写的东西的时候很容易产生这样一种感觉,就是看完文章,觉得自己都懂,其实自己早就了解并且碰到过,只是没有总结成一篇文章或者正好没看到这个点,再者就是自己其实早就有个这个想法,觉得别人的算不上什么新思路,但往往觉得自己会的,在遇到实际的问题要解决的时候,就会忘得一干二净,根本想不起这些东西或者不懂得怎么去做;所以更关键的是,除了看,还要去练,去做。
至于分享和交流,对于初学者来说,首先分享的角度,不要怕自己分享的东西比较low,任何你觉得可以总结的东西都可以分享,分享除了把自己的思路、总结分享给他人之外,其实也是一种复习和查缺补漏,就像刚才说的,写一篇文章,你才会知道自己有哪些点其实掌握的并不是那么到位,那么就需要去补齐。多写,多记录,总不会错。
而交流的话,初学者建议还是多看、多听、多问,另外就是大胆提想法,不用怕被人鄙视,你是初学者,你有这样的权利,反而对于行业内一些老人,有时才会说去顾忌自己问的问题太low显得自己不懂。但实际上,不懂就是不懂,没什么的。大胆的提问和提自己想法才能很直接的得到自己想要的答案,验证自己的想法是否正确,是否完善,不然如果只是自己单纯的靠自己去获取答案,去验证,需要付出很多倍的努力。
以上就是从三个方面的一些建议
1、访问安全媒体、技术分享平台获取信息
2、加一些行业、圈内的人、群,关注一些公众号,那么可以通过朋友圈、群里、公众号分享的内容获取信息
3、关注牛人的微博、Twitter
4、关注一些不错的博客等
5、注册成为现存不多的一些技术论坛和社区会员
6、参与行业内的活动(沙龙、安全会议等)
我们分别从这6个渠道展开说下,同时也给大家提供一些具体的方式
安全媒体就不用多说了,不管是国外还是国内都少不了一些安全媒体,可以获取第一手的信息,但由于更新、信息来源等各方面因素,不同媒体之间可能针对不同方面的信息更新及时度不同,建议可以多关注几个;而这些安全媒体一般除了个别是纯粹的只更新新闻事件,大部分的同时也包含一些技术文章。
国内的主要有:Freebuf(freebug.com)、安全客(557K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2L8Y4q4#2j5h3&6C8k6g2)9J5k6h3y4G2L8g2)9J5c8W2)9J5z5g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2)9^5z5g2)9&6b7W2)9J5z5r3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2M7h3&6A6N6g2)9J5k6h3y4G2L8g2)9J5c8W2)9J5z5g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2)9&6b7W2)9&6x3W2!0q4y4g2!0m8c8q4)9&6x3q4!0q4c8W2!0n7b7#2)9^5z5r3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6k6h3y4T1L8%4S2Q4x3X3g2U0L8W2)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4W2)9^5b7#2)9^5y4#2!0q4y4g2!0n7x3q4)9&6y4W2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4)9J5z5r3S2@1N6s2m8K6i4K6y4m8i4K6u0r3i4K6u0r3M7$3g2U0k6Y4u0W2k6g2)9J5k6h3y4G2L8g2)9J5c8W2)9J5z5g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4z5q4)9^5y4q4)9^5z5g2!0q4y4W2)9&6x3q4)9^5c8W2!0q4c8W2!0n7b7#2)9^5z5r3S2@1N6s2m8K6i4K6y4m8i4K6u0r3i4K6u0r3N6%4N6%4i4K6u0W2M7$3g2U0M7r3I4#2M7$3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6q4Q4c8e0N6Q4b7e0m8Q4b7U0c8Q4c8e0g2Q4b7e0y4Q4b7U0y4Q4c8e0g2Q4b7f1c8Q4b7e0k6Q4c8e0W2Q4z5e0W2Q4b7e0t1`.
(pockr.org)
国外的主要有:
9eeK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9r3g2Z5j5h3y4C8k6i4u0F1k6i4N6K6i4K6u0W2j5$3!0E0i4K6u0r3i4@1f1K6i4K6R3H3i4K6R3I4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2Z5j5h3y4C8K9h3&6Y4L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5c8W2!0q4x3#2)9^5x3q4)9^5x3h3S2@1N6s2m8K6i4K6y4m8i4K6u0r3i4K6u0r3N6%4N6%4i4K6u0W2K9r3q4U0K9%4u0W2j5h3c8Q4x3X3g2U0L8$3#2Q4x3V1k6Q4c8e0y4Q4z5o6m8Q4z5o6q4Z5N6s2c8H3M7#2)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4W2j5%4g2J5K9i4c8&6N6$3g2W2K9#2)9J5k6h3y4G2L8g2)9J5c8W2!0q4y4#2!0m8c8q4)9^5z5b7`.`.
对于资讯类的,这里推荐9aeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2S2j5$3E0W2M7X3&6W2N6%4y4Q4x3X3g2U0j5#2)9J5c8W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4g2!0n7z5g2!0n7x3#2!0q4y4g2)9^5c8W2!0n7x3q4!0q4y4q4!0n7z5q4!0n7b7W2!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4W2)9&6z5q4!0m8c8W2!0q4z5q4)9^5x3g2)9&6b7g2!0q4y4g2)9&6x3q4)9^5z5q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4g2)9&6x3q4)9^5y4q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4z5q4!0n7y4g2)9^5y4q4!0q4z5q4!0m8c8g2!0m8c8R3`.`.
另外,偏技术类的比如:
91ri(98dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0V1I4M7X3W2Q4x3X3g2G2M7X3N6Q4x3V1k6Q4x3U0W2Q4c8e0y4Q4z5o6m8Q4z5o6q4K6k6h3y4%4K9h3E0A6i4@1g2r3i4@1u0o6i4K6R3^5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6k6h3y4Q4x3X3c8%4K9h3E0A6i4K6u0W2j5$3!0E0i4K6u0r3i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1K6i4K6R3H3i4K6R3I4f1$3g2W2j5Y4g2Y4 Paper(368K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5i4m8W2M7W2)9J5k6i4y4W2k6h3u0#2k6#2)9J5k6h3!0J5k6#2)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4q4!0n7z5g2)9^5b7#2!0q4y4q4!0n7b7g2)9&6x3h3c8J5L8%4m8Q4c8f1k6Q4b7V1y4Q4z5o6S2Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0W2Q4z5e0g2Q4z5f1y4Q4c8e0g2Q4z5o6y4Q4z5p5k6Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7f1u0Q4z5e0W2Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6q4Q4c8e0N6Q4b7e0m8Q4b7U0c8Q4c8e0g2Q4b7e0y4Q4b7U0y4Q4c8e0g2Q4b7V1y4Q4z5o6m8Q4c8e0g2Q4b7e0y4Q4b7U0y4Q4x3U0S2H3L8$3y4C8M7W2)9J5k6h3!0J5k6#2)9J5z5b7`.`.
还有一些专业性的比如漏洞平台:
cbcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4W2k6h3u0#2k6#2)9J5k6h3!0J5k6#2!0q4x3#2)9^5x3q4)9^5x3h3S2@1N6s2m8K6i4K6y4m8i4K6u0r3i4K6u0r3N6%4N6%4i4K6u0W2k6i4S2H3L8r3!0A6N6q4)9J5k6r3c8T1i4K6u0W2j5$3!0E0i4K6u0r3i4@1f1K6i4K6R3H3i4K6R3I4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5$3I4A6M7%4c8K6i4K6u0W2L8%4u0Y4i4K6u0r3i4@1f1K6i4K6R3H3i4K6R3I4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0m8V1j5i4V1#2i4K6u0W2j5$3!0E0i4K6u0r3i4@1f1K6i4K6R3H3i4K6R3I4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3y4C8k6i4c8K6N6r3!0J5L8i4y4W2j5%4g2J5K9i4c8&6i4K6u0W2j5$3!0E0i4K6u0r3
7ccK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4$3k6g2)9J5k6i4y4U0j5i4m8Q4x3X3g2G2M7X3N6Q4x3X3g2U0L8W2)9J5c8W2!0q4x3#2)9^5x3q4)9^5x3h3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6T1N6i4c8A6j5h3&6Q4x3X3f1K6y4U0m8Q4x3X3g2U0L8W2)9J5c8W2!0q4y4#2!0m8c8q4)9^5z5b7`.`.
第二个渠道是加一些行业、圈内的人、群的,关注一些公众号
怎么去加一些行业、圈内人的微信等,就需要大家各展神通了,其实跟后面会讲到的参加活动、加群等一般都是相辅相成,因为一般也是通过参加活动现场添加或者通过群里的成员列表去添加。加了一些人的微信好友后,你会发现,一些新技术、新的行业动态、活动都能在朋友圈大概了解的差不多了。
而加群的话,建议大家可以先从一些SRC、技术网站的群先加起,一般各个SRC都有自己的白帽子群,你只要到平台上提交漏洞,很容易就能加入这些群,相信加的这些群已经足够你去了解很多东西,随着你深入行业,你会慢慢的加入更多的群。但这么多的群,大部分都是扯淡的,能碰到多少质量相对比较高的群,更多的时候看运气或者自己的筛选。
这里针对加好友和群,需要说的一点是,大家需要注意适度,特别是不要去在群里发一些广告、或者比如群发什么帮忙投票朋友圈第一个文章啥的,这种很容被拉黑,提问题之类的也先自己Google下,等等诸如此类,就是不要制造垃圾信息,不要对别人,特别是一些大牛造成干扰。
再者就是一些公众号,一般大部分的SRC也有有公众号,不过比较有干货的大概那几个,这里给大家分享一些公众号:
网安杂谈、破壳学院、皮鲁安全之家、京东安全应急响应中心、360Netlab、i春秋、腾讯玄武实验室、云鼎实验室、懒人在思考、盘古实验室、腾讯安全应急响应中心、Seebug漏洞平台、DJ的札记、全频带阻塞干扰、网安志异、张三丰的疯言疯语、qz安全情报分析等
公众号比较容易获取一些大牛们新的思考和分享,有助于提高自己的安全观。
第三个就是关注一些大牛的微博、Twitter,其实原因是类似于第二点,往往最新的东西都来自于这些大牛或者大牛关注的人,通过关注大牛的微博、Twitter,可以通过他们原创、转发的微博了解一些最新的事件和技术点。那么如何去关注大牛的微博呢?
这里有个小窍门,从你了解的一两个大牛关注起,然后去看他们的关注列表,一般他们关注也是你需要关注的人,可以点击他们关注的人进去看介绍和历史发的微博和推文,然后在关注。至于如何去找那开始的两三个,这里我就不做推荐了,推荐谁都不合适,大家如果想踏上这条道路,去找一两个开始需要关注的大牛的微博、Twitter这点能力还是需要具备的。
第四个,关注一些不错的博客。这点主要是为了获取最新的技术和技术应用。这里可能和结合上面的情况来展开讲,比如在安全媒体的上会有一些人分享技术文,在作者的个人主页也许就有他的博客地址;再者,一些朋友圈看到的技术文章,也许就是来自哪个博客的;还有微博、Twitter上关注的大牛,个人主页也许也填写有他们的博客,来源有很多。
当然,不是所有都关注,需要根据自己的学习方向、关注方向做下筛选,然后还要靠博客的更新频率,比如我的博客,万年基本不更新的,就没什么值得关注的,再者就是文章质量,择优关注。这里注意不要关注的太多,过犹不及,关注太多我估计大家也看不过来,尽量选择贴合自己学习方向的。
这里分享下COS的RSS列表,大家可以作为一个参考:
cos的rss列表56aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2$3K9h3I4U0L8%4y4Q4x3X3g2E0k6g2)9J5c8X3g2$3K9h3I4U0L8%4y4Q4y4h3k6J5M7%4y4Q4y4h3j5J5x3o6p5@1i4K6u0W2L8%4m8E0L8l9`.`.
第五点就是注册成为一些技术社区、论坛的成员,目前国内仅存的不错的技术社区/论坛已经不多,推荐几个:
bc0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2@1x3o6m8D9M7#2)9J5k6h3&6W2N6q4)9J5c8R3`.`. 吐司建站已经很久,国内保留下的为数不多的几个技术论坛之一
164K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8$3y4C8M7W2)9J5k6h3!0J5k6#2)9J5c8R3`.`.
887K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6^5P5W2)9J5k6h3q4D9K9i4W2#2L8W2)9J5k6h3y4G2L8g2)9J5c8R3`.`.
900K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1j5Y4y4Q4x3X3g2A6j5$3S2#2L8Y4q4A6N6g2)9J5k6h3y4G2L8g2)9J5c8R3`.`.
二进制方向的同学还可以关注:
8c9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1j5`.
https://bbs.pediy.com/
注册成为社区的成员不是主要目的,主要目的还是通过社区学习到东西。
最后点,参与行业活动,比如沙龙、安全会议等,这是一个比较直接的渠道去认识圈内、行业内的人,也是一种好的线上交流方式,同时也可以了解行业内的一些最新产品动态、技术方向等。
其实渠道肯定不仅仅是以上的几种,以上介绍的几种渠道和给的例子都是帮助大家快速的通过这些渠道来达到建立获取安全资讯和技术的方式,更多的渠道其实大家在学习安全的过程,会慢慢的接触到更多,自己也慢慢的会去总计和筛选这些渠道,来使得自己获取的信息的质量越来越高。
希望可以帮助到大家,帮助大家快速的获取最新的安全资讯和技术