一.Web安全发展趋势
近年来,互联网安全行业发展迅速,由于棱镜门,勒索病毒等几次重大的互联网安全事件的发生,安全问题越来越被重视。而且我国也在2016年11月7日发布《网络安全法》,自2017年6月1日起施行,种种事件都标志了一个里程碑,各类安全会议更是一次次登上媒体及新闻头条,是几年前看不到的盛景!
现在大多数人所理解的网络安全就是Web安全,所以我先从Web安全说起。Web安全主要是攻防,但是攻防发展程度不成对比,防御技术每天一个变化,层出不穷的技术革新,而攻击技术却走走停停,随着云技术,cdn技术,web3.0,大数据应用等各类资源出现,我想web2.0安全将会落寞下去。在未来一段时间内,我想移动安全,云安全,实体安全可能是今后的一个发展趋势,围绕各类技术革新,各类密码开始采用指纹或者识别,车载安全问题,智能家居安全问题,各国安全大咖的各种神级技术展示,我想安全会进入一个崭新的世界,那个时候绝对又是一个非常好的发展前景!唯有选择跟上潮流才能脱颖而出!
二.底层安全
底层安全一般指二进制安全。通俗地讲,底层安全更注重基础和工作原理。对该行业有着更深入系统的认知。因为他们已经不仅仅局限于信息安全类工作了,而是为工作找途径,为具体的工作岗位制作工具。这个阶段的人,才能称之为“信息安全工程师”。
三.二者区别
引用任晓珲老师的一段话:
底层安全一般指二进制安全,更加注重技术本质,取得的权限更大,攻击效果更加明显,但是更加难以学习掌控;
web前端安全更加注重攻击手法,取得的权限较小,攻击效果有限,以网站数据为主,但是需要的基础知识较少(脚本+数据库+HTTP协议+例如正则表达式或浏览器特性等)。
(1)构成区别
底层安全技术为主、思路为辅,更多的是纯技术上的对抗,例如加壳脱壳(逆向分析对抗)、加密解密(逆向+算法对抗)、游戏保护与过保护(反调试对抗)、杀毒与免杀等(综合对抗),在这些对抗中,程序设计、CPU的x86结构、汇编语言、操作系统原理都是根基,PE文件&EDX文件&ELF文件等文件结构、软件逆向、调试技巧都是基础,具备这些后,才难谈上层的具体技术博弈;
前端安全思路为主、技术为辅,更多的是直接拿脚本、工具过来使用,熟练使用Python、PHP、JS的基本就已经具备混出点小名声的基础了,但是如果想成为大牛,则必须要混圈子才行,跟技术的相关性不大。
(2)学习区别
底层安全,谁学的知识更多,谁的知识面更广,一帮情况下谁就更加“厉害”,而且知识体系从基本来说就是 x86+NT & ARM+Linux这两大类,优点是学完后基本上50年内不会有太大变化,缺点是这两大类已经概括当今人类社会IT领域95%以上技术的基础了,知识量自不必多说;
前端安全,学会容易,必要基础大概自学1年就完全可以掌握了(底层安全自学3~5年很正常),在花半年时间精研一些各种攻击手法,基本上就算是出师了,但是相对变化较快,上层的东西变了,有追求的话新框架需要跟着学,想要成大牛就要混圈子,而前端安全的圈子偏浮躁是不争的事实,想要不跑偏除了需要定力外,还需要一颗与世无争的心。
曾看过一种有趣的说法:逆向工程技术就像华山派的气宗,更强调扎实的内功修炼,以深厚的内力御剑;而Web安全技术更像华山派剑宗,更强调御剑思路的变化,用招式克敌。
网友评论