导读:黄俊凯,男,四川内江人,2003年6月出生,信息安全学院软件工程专业2021级7班学生。一次黑客电影,让他有了成为网络安全大神的梦想。在移通,他通过自己的努力和学校提供的平台,他终于从一名菜鸟,成长为了网络安全的 “大神”。
高二那年,我无意中看到了《我是谁:没有绝对的安全系统》这部电影。男主角本杰明是一个生活中的loser,没有存在感,没有朋友。在网络数字世界,他却是一名天赋极高的电脑极客,甚至可以一个人对抗一个企业、一个联盟!
看完这部电影,我突然产生了一种强烈的共鸣,我也想成为本杰明那样的人!我也希望我能掌握网络科技的“神秘”技能和力量。
被割“韭菜”的“大神”
为了实现梦想,我成为了移通信息安全学院软件工程专业的一名学生。进入大学后,我每天晚上都会利用搜索引擎和B站去搜索网络安全相关的课程和知识。每次我的辅导员邹健老师来查寝,看到我“挑灯夜战”。他不仅没有批评我,反而拍拍我的肩膀鼓励我:“既然喜欢学,就坚持学下去!”有了老师的鼓励,我的学习动力更足了。
我希望能从课堂上晋升为“黑客”,但,大一时开设的课基本都是基础课,而且,学长们也告诉我,即使后面的专业也只是基本的理论知识,要成为“黑客”,我必须自己单独为自己“加餐”。
于是,我在网上了解到一个关于网络安全的综合课程,一年学下来一共6000元,课程网页上写着显眼的几个大字——学完,包你成大神!
这几个字一下子把我的心勾起来。那几天,“成大神”这个目标始终在我眼前晃来晃去,弄得我心神不宁。我也知道,成大神的6000元,对我还是有压力的——家里那个时候装修房子,并没有多少现金。犹豫了好几天,我才鼓起勇气,给父母说了自己的想法。说完,我的心里就有点不是滋味,因为自己的爱好,要给父母增添负担!
没想到,父母特别支持我,毫不犹豫地给我转了6000元。拿到这笔钱后,我捏紧拳头暗自发狠:一定要好好学,对得起父母给的这笔钱!
就这样,我开始了每天八小时的自学。每晚在宿舍看视频课程,几乎都到两三点,眼皮子打架了才睡觉。此外,我还不断地按照课程的要求做网络安全实践练习。
然而,令人没有想到的是,就这样高强度地自学了一年,我却发现,根本没有学到任何实质有用的东西。我让父母辛苦赚来的积蓄打了水漂!
此刻,摆在我面前的只有两条路,要么继续坚持,要么立刻放弃。甚至,我还怀疑,即使再去上别的课程,可能也会出现花了钱却什么都学不到的情况。
我陷入了深深的焦虑和迷茫。
漏洞挖“宝”
大一的暑假,我心情很烦闷,暂停了自学,只是偶尔去刷一些网络安全的论坛。一天,我无意加了一个网络安全的资深爱好者群。我发现,多数群友都是具备网络安全实操经验的资深达人,他们所谈论的许多关于网络安全的具体操作、防范措施等等,都是我完全不曾接触过的。
我在群里认识了一个网名叫“韭菜机构”的好友,他告诉我,我那六千块课程就是妥妥被割了“韭菜”,学了根本没用。他还说,安全圈有一个特别知名的老师,厉害的群友都是看他的教学视频自学出来的,如果想自学,现要看他的课程,不要轻言放弃!
我重新燃起了希望,重新建立学习日程表。每天,我观看群友推荐的老师的课程,整理学习笔记,按要求进行实际操作。甚至在吃饭时,我都拿着手机,在阅读相关的文章。我不断重复着四点一线的模式——吃饭、睡觉、上课、自学,并不觉得枯燥无味,反而让我享受其中。
几个月后,我逐渐从一名新手,变成了网络安全的入门者。
于是,我开始尝试把学到的知识运用到实践中。第一次尝试的时候,我小心翼翼地按照给定的步骤操作,但电脑却显示出错误代码。起初我以为是自己的疏忽,写错了代码,但反复几次,电脑依然报错。我有点不知所措:是我遗漏了某些重要的环节?还是我学习的教程存在问题?我决定先寻找另外的教程来看一下。结果,第二个教程的步骤没有出现任何问题。对比以后,我发现,两篇文章中有一个编写代码的步骤不一样。这让我意识到,哪怕是大神给的教程,也不一定完全正确。
从此,我改进了自己的学习方式。除了看群友的推荐教程外,我开始对各种教程进行筛选、分析和比对。一边筛选一边学习的方式,相比之前更加困难,却让我收获颇丰,学会了如何去评估信息的可信度,尝试用不同的方式来解决问题。
就这样,我的能力得到了进一步提高,开始独立寻找企业的安全漏洞。SRC平台是业内公用的安全应急响应中心,是企业用于对外接收来自用户发现并报告的安全漏洞的站点。在SRC平台上,我从简单的弱口令漏洞开始寻找,可始终一无所获。我慌了,难道我学了这么多,还是没办法运用到实践之中?但这一次,我冷静了许多,从网上找到相关文章,调整思路,继续尝试。
终于,经过三天的努力,我成功找到了一个漏洞!
我把这个漏洞上传到平台上,平台认可了我的努力,还给了我200元奖金。我很兴奋,200块虽然不多,对我来说意义重大——不仅让我找到了“挖宝”的快乐,更是对我自学的第一次肯定!
第一次成功,还让我明白,在漏洞挖掘领域,大家比的不仅仅是技术,更多的是耐心和细心。在接下来半个月时间中,我成功地挖掘到六个XSS(跨站脚本攻击)漏洞,其中一个还是包括Shiro框架的漏洞——这是企业网络安全的重大漏洞。因此,我获得了该公司的最高奖金——1500元!
在这个平台上,我享受着“挖宝”的过程,享受着不断挑战、不断突破的快乐。
搂草打兔子
经过两年的自学,我逐渐在学校崭露头角,除了担任班级干部,我还被评选为学校双体软件精英产业学院信息安全部的部长。我尽心尽力地带领部门的同学们一起学习网络安全知识,希望他们避开我走的弯路。
今年暑假,我接到一个深圳科技企业的实习通知,让我以企业网络安全实习测试员的身份,参加他们的网络安全“红蓝对抗赛”。对抗赛中,红队的主要任务是模拟攻击网络系统,而我所在的蓝队则负责响应红队的攻击,保护网络系统的安全。
以前都是线上找漏洞,这一次能去外地亲身体验对抗赛,可把我兴奋坏了!我收拾好行李,第一时间赶到深圳,开始了为期半个月的实习之旅。
对抗赛刚开始,红方在商量部署攻击点,并没有立刻攻击我们,我们蓝队也根据对方可能的攻击点,提前设计应对方案。周密部署后,我们蓝队氛围渐渐轻松起来。等待中,我方一位队员收到了一封邮件。经过确认,我们认为这只是一封普通的诈骗邮件,并非红方的“战术”。于是,大家一致决定,搂草打兔子,顺便为这次对抗赛加一个“业余节目”——找出这封钓鱼邮件发送者的IP地址。
我们进行了精细的分工:邮件接收者负责与对方周旋,尽可能地为我们争取时间;我负责编写代码,并对其进行加壳免杀处理;其他队员则通过一系列技术手段,将代码发给对方,拿到对方IP地址。最后,我们通过国家网络安全信息网站成功举报了这名不法分子。
搞定了这个余兴节目,我们开始专注“红蓝对抗赛”的防守。最终,我们成功守住了防线,赢得了最终的胜利。
实习期结束后,这个企业给我额外增加了2000元奖金——半个月时间,我赚到了8000元,一次性赚回了我以前被“割韭菜”的学费!这次难忘的实习经历,让我明白了网络安全的巨大发展空间,也让我更坚定了从事网络安全行业的决心。
今年,信息安全学院举办了第一届“古剑山全国大学生网络攻防大赛”。负责队伍组建的周晓艳老师专门帮我组建了一个由合川和綦江双校区网络攻防高手组成的参赛队伍,并让我担任队长。一想到我将有机会和全国的高手一较高下,我的心中就充满了期待和兴奋。
撰稿:杨婉婷
终审:苏述庚
总编审 :孙善清
(新闻采写产业学院 “我在书院读大学”通讯社出品)
本栏目面向全校征稿,欢迎广大师生踊跃投稿!