2021,来立些 flag 吧
已经一个月没更新文章了,再不更新就说不过去了...其实我是非常想更新文章的,但是手里的这些系列的文章都比较多一些,而大家都知道,越是大的机器启动的时候,预热时间就越长,所以嘛...
虽然主观原因就是懒,不过说实在的,还是有客观原因的!!!
2020 过的怎么说呢,感觉没啥感觉,就一直在封闭。感觉大脑都变慢了,可能是太久没学习了,所以我搞了一个公众号,这个公众号是从 2020 年 7 月创建的,到 2020 年底,我一共写了 24 篇文章,都是在业余时间里抽空写的。写的过程中呢,我发现一个问题,即使我非常注意知识的整体性和连贯性,但是无可避免地会出现孤立的知识点/文章,究其原因,比较明显的是很多知识点我是边学边输出的。如果要保证所有的文章都划分到了指定的系列,那么就得在创建系列文章的时候,就知道这个系列文章有哪些知识点。橘友们可以参考去年我写的 DNS 安全系列的文章,这个知识点我是知道有哪些东西可以写,所以写成一个系列文章是顺其自然的事。但是并不是所有知识点我都知道有哪些部分可以写,比如 DGA 检测相关,我得先去学习、总结一下才知道这个系列要怎么划分比较合理,如果一边学就一边写文章,那么很容易写出不连贯甚至是前后矛盾的文章。
这个问题确实很麻烦,为了保证我自己未来参考方便,以及读者阅读的连贯性,最佳的办法就是当我写出这个系列的所有文章之后,再整体做调整,将块知识点按照合适的顺序分成 n 篇文章,就组成一个系列了。
这么做就有一个不好的地方,就是我可能一个月、两个月都没更新文章,然后突然几天连续更新文章...嗯,我还在寻找有没有折中一些的办法...其实我是倾向于攒好文章再发的。
诶嘿嘿嘿好了不找借口了,下面介绍一下 2021 橘子杀手的整体计划!!!
技能树绘制
去年与一位好友交流的时候,提及工作后的学习时间,他感慨现在业余学习好困难。原因主要有 2 点:
- 在应付白天的工作之后,晚上往往没什么精力继续学习。这个确实是这样,顺便一提,很多人可能会觉得晚上不是有很多时间吗?其实就算不加班,晚上回去之后可能还要做饭、洗衣服之类的,搞完就只想放空一下,电脑说不定都不开,所以这里说的是“没有精力”而不是“没有时间”。
- 时间较为分散。这点我早期也遇到过,而现在工作之后,时间进一步被分割成更小的碎片,对于那些大块的知识,如果没有很好的记录进度的方式,那么学着学着就不知道上次学到哪了,很可能从头开始(大家回想一下大学背单词是不是老背 abandon)。最为简单的方式就是做记录,一个很好的办法就是写博客,这里附上我高中物理老师在开学第一节课对我们说的话:“我让你们记笔记,不是怀疑你们的智商,是怀疑你们的记忆力”**。写博客确实需要很多时间,但是可以快速地做个大纲,细节部分别着急,慢慢补充。最后,写文章不要怕 low,保证尽量别出现大的错误就行了。这里顺便提醒一点,将文章拿去投稿确实会有些收益,但是容易被怼...现在环境是挺奇怪的,交流氛围并不好。
- 不知道学什么。在我给他推荐了“写文章”这一方式之后,他表示不知道写什么。其实“不知道写什么”,很大一部分是因为“不知道学什么”。这就是“技能树”的作用了(废话了这么多终于说到重点了)。技能树绘制其实从 2020.11 就开始了,我预计会花费好几个月去绘制,到时候会专门发一篇文章讲怎么完成这个技能树的绘制,重点是知识点怎么划分,以及熟练度如何评估比较合理。有了技能树之后,各位只需要不断点亮上面的节点即可,同时对自己现在在学的东西、网上看到的新文章,对整体知识的掌握有何帮助以及技能未来该往哪边点,都会有比较好的辅助效果,最后年底按照点亮的技能来回顾自己的学习经历,想必也会很自豪吧。
这是一个持续性的任务。未来如果可以的话,我会考虑在每篇文章末尾附上这篇文章在技能树的位置。通过技能树,我们都可以看到自己的成长。
Web 安全巩固
啊,Web 安全,这是我一开始学习的大方向,是最早接触的安全知识。最近一直在学系统安全相关的,所以这块落下了不少。各位如果细心的话,能在我的博客里找到 OWASP Top10 的系列文章,这是还在大学的时候写的,当时就是想把整个 Web 安全系统地过一遍,然而还没过完就开始打工了,遂停了,继续梳理的想法一直都有。你看,这不就是又从 abandon 开始了吗?
思路嘛,还是先过 OWASP Top 10,然后在其他小的分支上过一遍,具体的后面再规划吧,问题不大。
系统安全相关学习
除了去年说的 DDoS 相关之外,今年可能会贴合 NIDS/HIDS 去做一些更有意思的事情。然后我之前一直不想做 Win 安全相关的,今年可能也会考虑,不过优先级应该很低。
人工智能入门
“人工智能” 这个词,我一直说不出口,感觉很尬...但是又没有什么更好的同义词...
这部分我一直很感兴趣(其实是觉得好玩),不管是 DGA 的检测还是其他更加“玄学”的利用场景。近几年有人对 AI+Sec 表示悲观,其实也没必要啦,出个新的游戏你都想去学怎么玩,学个机器学习怎么就不愿意嘞?后面还可以搞量化炒币,当自动化韭菜嘛
基础知识的话,我还在补,对于我这种业余的调参选手,数学问题不是很大,代码实现就更不是问题了,所以探索一下还是非常不错的选择。
编程
编程的话,除了 Python 可能会再精进之外,今年主要打算好好学学 PHP 和 Java,现在也就是会看一些,慢慢地觉得有点不太够用,该补的还是得补。
事评
这部分就随缘了,有价值的安全事件也不多,并且重复率也高,所以这部分不仅是事评,可能也会有一些思想上的输出。
杂谈
这六大方向,就当是我 2021 的 Flag 了,到年底我们再来看一下进展。学习嘛,动起来总比不动要好,点错技能的确让人沮丧,但你要想如果不点这个技能的话,省下来的时间也不一定会好好学习其他的,这么想是不是就赚了?
如果橘友们真真真的不知道学啥,我这还有一个终极大招:去看各大厂商的招聘要求,按照他们的要求挨个学,这个是在大方向上辅助你做判断。要具体到某个知识点,网上搜一下安全岗的面试题就好了,GitHub 上甚至有专门的面试题库,拿你擅长的方向去试一下,能不能全回答出来呢?
不能?那还不去学!
2021 冲鸭!
2021
好好学习
努力工作
坚持健身
好好攒钱