学习宿命的战略/结构/路线图

Question

我目前正在教自己计算机安全和休息。我的问题是:我或多或少了解绝对基础(tcp/ip、缓冲区溢出、xss.)但在所有这些领域，我没有完全和深刻的理解的主题。我现在教自己的方法是做军事游戏，正确地了解pwnable.kr，然后我试着在练习中阅读自己，直到我能够解决它。不幸的是，在军事游戏中，通常没有好的答案或解决方案，而且当我搜索主题时，我只是对正在发生的事情做了非常肤浅的解释。

• 因此，我的第一个问题是:如何深入了解常见的漏洞以及如何利用这些漏洞？

我的第二个问题是，如果一个非常非结构化的方法，我觉得我错过了重要的事情。你有什么推荐的？从“我非常了解基本知识”到“我可以把我的知识应用到游戏中，并且可以解决战争游戏/ctf的问题”，什么是好的方法？

• 换句话说:程序/列表/常见问题/课程，引导你从简单的事情到高级的东西？

我在想所有那些有详细计划的网站，如何在你个人的立场上取得进展。

• 是否有任何良好的moocs用于计算机安全？

我个人的目标是有一天能参加现场ctf的比赛，所以我想教自己一些必要的技能。非常感谢!

Answer 1

如何深入了解常见的漏洞以及如何利用这些漏洞？

有关于描述攻击向量的漏洞的文章，可能需要对使用的函数和编程语言以及脚本语言有深入的了解。通常，您可以通过审核和测试代码以及学习OWASP常见的webapp应用程序漏洞的备忘表来学习。

程序/列表/常见问题/课程，指导你从简单的事情到高级的东西？

有些学院和网站提供免费和有偿培训、课程和免费论文。但你也应该实践真正的网络应用，阅读利用，并试图了解他们的工作方式。

最好的方法是学习语言、它们的功能/方法以及它们的陷阱。

作为软件开发人员，在编写和阅读代码时，您的概述要好得多。

以下是一些有用的资源：

https://github.com/enaqx/awesome-pentest

https://github.com/sbilly/awesome-security#scanning--pentesting

OWASP是一种著名的赋值工具，OWASP有许多关于赋值和安全性的文章和便条。

https://www.owasp.org/index.php/Web_应用程序_安全性_测试_作弊_板材

https://www.owasp.org/index.php/Category:How_至

你可以看看桑斯研究所的阅览室：

https://www.sans.org/reading-room/whitepapers/testing/

它们还提供课程、培训和证书。