《论语·为政》中讲,“三十而立”,讲的是一个人到了三十岁的时候,就应该有属于自己完整的学术体系从而“知礼”,当然现在的中国和一千多年前的春秋毕竟还是南辕北辙的两个时代。白驹过隙的社会发展,让我们的三十知礼变成了三十岁安身立命,从容面对生活的苦难。
三十岁是人生的一个转折点,那么程序员到了三十岁时在工作上该如何抉择:
程序员到了30岁了,应该去做什么?
对于一个技术人员来讲,成为行业最顶尖的技术专家或者管理岗位,毕竟还是一个概率性事件,大多数人也不过是借此糊口的普通人。面对着日新月异的代码和语言,你是否感到了力不从心?稍有懈怠,就跟不上岗位需要了?身体渐渐的发福,熬夜写代码开始扛不住了吗?
对于老板来说,永远都存在更年轻、更便宜的选择。老实说,这样的情况会让任何一个员工陷入危机感,而不仅仅是技术人员,中年危机从没放弃敲打我们。
大龄程序员(30-35岁)转岗的现象一直存在,并且非常普遍,到底有多普遍?
程序员的意向转行年龄有逐渐后延的趋势,一是程序员的薪资很难被其他岗位超越,二则是城市生活成本逐渐提高,生活压力较大,不敢轻易转行。
程序员转行都去做什么?
最受欢迎的去向是创业,不过这里的创业至少一半是指回到家乡开个餐馆、水果店此类的创业,拿融资继续做科技项目的只能占比不到1/3(也即在全部转行意向中占比不超过10%)。
很显然,程序员们其实更加青睐留在IT行业里,研发管理、运维、运营三者加在一起的比例高达44%。
当然比较理想的,还是走向管理岗位,毕竟做自己想做并且擅长做的事情是每个人都想要追求的幸福。不过最终能达成这个目标的比例,要远比意向比例低得多,而且更有逐年下降的趋势。
毕竟从主流语言的热度趋势来看,不断涌入程序员这个职业的人逐年不断的再增长,这和程序员工作本身收入可观以及近年来互联网创业热潮都有直接关系,但这会继续加剧程序员工作岗位中的金字塔现象。
程序员们更喜欢哪个城市?
其实对大多数走出家门,选择在北上广做程序员的人来讲,除了高薪的诱惑,同时也存在着城市本身的吸引力,即便是转行,也会有相当大比例的一部分人选择留在一线城市。根据主流城市程序员就业流入图,广州以15.9%的流入率成为了程序员最喜欢的城市。
而从热门城市程序员平均工资中可以看到上海(11860)、北京(12555)、杭州(8188)、广州(8907),广州并不是最高的,如果同样是异地就业,广州能够在薪资并不是最高的情况下占到了最高的流入率,说明广州这座城市是实打实的吸引着程序员的涌入。那么,广州的转行程序员留存数也极有可能是最大的。
程序员该怎么为转行做准备?
我们还是用数据分析的老办法。相当大的一部分有转行意愿的程序员犹豫的原因是因为没有写代码之外的技能、不熟悉其他行业业务、甚至是因为年龄、薪水落差所以有很大的心理障碍。在这儿我们提供两个行动方案,比较积极的,比较消极的(找不到合适的工作怎么办),为此我们特意找了猎头朋友聊了聊转行的注意事项。
挖漏洞需要掌握的基础知识
首先说说基础理论知识:
1.计算机组成原理、计算机网络、计算机体系结构、计算机操作系统,密码学,多媒体技术等等。这些都需要掌握总之一句话就是大学计算机的基础课程。
2.编程: HTML、CSS、JavaScript、 PHP、 Java、 Python、 sql、 C、C++、 shell,汇编、nosql. powershell等等常见的语言基础都需要掌握,至少要熟练使用Python和sq|,这些语言都要学习两周到两三个月吧!
3.漏洞方面,漏洞分很多种,根据不同的标准也会有交叉,黑客要掌握大部分漏洞的形成原理,检测方法,利用方法,修复方法,常见的网站漏洞有sq|注入,XSS, 文件包含,目录遍历,文件上传,信息泄露,CSRF, 账号爆破,各种越权等等,常见的二进制漏洞有缓冲区溢出,堆溢出,整形溢出,格式化字符串等等,分析的时候还要绕过操作系统的保护机制。
协议的话也是存在漏洞的,比如TCP、UDP什么的拒绝服务,DNS劫持,ARP欺骗等等, 现在工控、物联网、AI什么的也都有各种各样的漏洞。
4.需要掌握的工具,工具太多, 基本上目前主流的客工具都要熟练使用,应该有几十种吧。上文已经详细阐述,这里就不赘述了。
5.还有网站和通讯协议吧,客户端和服务器,用户输入网址点击访问到服务器返回网页这其中涉及的知识,如JavaScript, http请求, web服务器,数据库服务器,系统架构,负载均衡,DNS,等等是要熟练掌握的,然后说说主流的网站开发框架,其中Java的SSH三大框架要了解有什么漏洞啥的PHP的主流框架和CMS要了解,最好上面的框架都会掌握,如织梦,thinkPHP等等,另外主流的数据库服务器要了解如MySQL,sql server等。
如果要做漏洞利用的话涉及到TCP等编程,要会TCP编程, 如果为了通讯安全,要掌握当前主流的加密算法,如AES, RSA, 3DES等等各种加密算法,如果要对端口进行暴力破解,要掌握端口的爆破技术,比如字典的选择使用。
还有要了解软件运行的时候在操作系统里怎么运行的,从计算机磁盘文件加载到内存,怎么布局的,代码段,数据段,堆栈段什么的,代码的参数在堆栈布局,内存地址什么的,另外还要了解系统的保护机制如代码执行保护等等。
当然挖漏洞需要学习的东西还有很多,很都东西都很关键。能走多远,就看你的执行力和兴趣了。
挖漏洞的注意事项
挖SRC一定要细,慢慢的去分析,不能着急往往越着急越挖不倒,这里可以给大家一些建议,在挖掘SRC期间
1. 不要着急出洞,先去慢慢摸索厂商的各种信息,了解每个功能点(做好信息搜集)
2. 去分析每一个数据包,知道每个数据包对应的功能点在哪儿,去知道数据包对应鉴权的地方在哪一块
3. 多去关注厂商的活动,一般新上线的项目或者活动漏洞比较好挖一些
4. 关注厂商信息,比如一些活动期间奖励翻倍等信息
5. 千万要记住去看人家厂商的漏洞收录范围,不看范围挖漏洞=白干
6. SRC漏洞挖掘需要遵守法律规定,避免侵犯网站安全和用户隐私,同时需要遵循公司或组织的安全政策。
7. 在进行SRC漏洞挖掘时需要注意保护漏洞信息和利用手法的安全性,不应该泄露给未经授权的人员。
SRC逻辑漏洞一般产出比较高的漏洞就在于逻辑漏洞,别的漏洞也有但是相比起来逻辑漏洞的价值更高**
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴文末免费领取哦,无偿分享!!!
【一一帮助网络安全学习,以下所有资源文末免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
网络安全学习路线&学习资源
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
