学了那么多常见的web攻击手法之后,我为什么转了一大圈又回来学习PHP网站开发?
从一开始,学习编程开始,再到学习各种常见的web的渗透方式,又学了主流的渗透工具,中间掺杂着各种网络协议等等。直到昨天,又有办法绕过了安全狗。可是,我觉得我自己还是不会渗透。为什么?想了想,还是代码能力,开发能力。
刚开始,我注重基础,后来发现学基础没有一个尽头,于是改进,学了攻击方式、常见漏洞利用方法,但是又发现会被安全狗拦截,过了狗之后,又感觉自己还是什么都不会。这是为什么?是因为没有耐心进行各种测试?各种调试语句?觉得这是浪费时间?我的确觉得现在我要这么做是浪费时间。
我浮躁吗?是浮躁了。学到现在,感觉对渗透还是缺少一种真实的感觉,总是觉得抓不住。有人和我说,渗透不需要挖掘漏洞,只需要利用漏洞就可以了。
但是,我始终觉得,这样太受制于人了。而且,很多初级的渗透技巧,都是从别人的教程那学来的。这没问题,可是总是给自己一种很虚的感觉。说不清道不明。
渗透博大精深。计算机博大精深。我只能这么说。
以前看过文章,说攻防是一起成长的。既然如此,那么我也应该攻防一起研究。虽然早就有这种想法,可是一直也没有实施。现在差不多到时候了。
嗯,仔细、耐心的反思了一下自己。想了想,终于找到原因了。那就是,我没有开发网站的经验。没有开发过网站,没有敲过扎实的代码,就始终不能明明白白搞清楚整个网站的运行原理!即使去做渗透测试,也始终无法发现那样做的精髓!
比如,跑目录,为什么要跑目录?发现敏感目录?为什么会有敏感目录呢?这些搞渗透的新手,你们思考过吗?我也是新手,这个问题也是我码字码到这才想到的。如何解决敏感目录的问题,清楚吗?如果用代码来写,该怎么写?这些我都不知道。我只知道跑出敏感目录就可以查看敏感信息。
这个或许就是我一直觉得心虚的原因。学到现在总是无法搞的清清楚楚。虽然可以做事,但是一旦出现意料之外的情况,就无法思考其中的原理,无法变通,找到真正的解决方法。或许这就是大牛真正牛的地方。因为大牛总能解决问题,所以才称之为大牛。
综上所述,我得认真过一遍PHP开发,将该学的框架学完,并且独立写一个简陋的网站。在学完框架之后,带着了解代码审计。这样下去,再过一个阶段,相信我实力会成长一大截。不仅仅是渗透,还有开发。(以上内容是个人反思,分享出来给各位读者参考)
最后送各位读者一句话:编程是黑客的基础,即使你现在不学,学到后面你也会肯定去学编程。否则只能停步不前。
