47.《渗透测试实践指南:必知必会的工具与方法》2016.11.17 作为一名攻城狮,不务正业太久心里还是过意不去的,这书传闻是NSA主管,一位美国将军推荐的书,噱头很大,块头很薄,翻阅下来,的确受益匪浅。在我念书的时候,最崇拜的就是那些黑客大牛,仿佛是武侠小说中的绝世高手,在这个虚拟世界来去自如,挥一挥衣袖,带走了所有的东西却不留下痕迹,奇门遁甲,铜墙铁壁奈他不何。其实现在的黑客大牛也是这样的,只是以前完全不懂,觉得很神秘,现如今略懂一二,假以时日,练就个防身术还是可以的,绝世神功的确得看自身的悟性和下的功夫。由于工作的限制,想深入学习一下已经不太可能,毕竟没用足够的时间,但书上很有条理的阐述了渗透,就是入侵的原理,用到的工具,如何提升。其实如果想迅速成为一名安全专家,那就去一流的安全公司去吧,这是借用小野一郎也就是寿司之神的观点来说的。如果仅仅作为工匠,只要会用工具就可以,其实工具只是辅助,强大的Unix编程功底,网络各种协议的熟悉程度,windows底层的各种机制,再加上各种漏洞的原理以及攻击的代码的编写,始终是需要很多的计算机背景知识。技术人员最怕的就是写文档,现如今,写文档的习惯已经再中文技术圈子里流行,但是如何取舍完成一篇既有理论深度,又有实际范例的文章,实在不容易。这如同我同事说的,如何能抓住读者的心,让他不至于淹没在知识的海洋,而是跟随你的扁舟,领略其中风景。之所以叫渗透,指的是在获得授权之后,通过技术手段来入侵系统,从而找出安全风险,渗透与恶意入侵,差别只在是否授权,是否以攻击破坏窃取数据为目的。矛和盾始终是对立的,却又是相互促进的,我只希望我能站在防守的一方,一定程度的了解对方出招的套路,不力求有力挽狂澜的能力,只期望能不至于素手无策。计算机的细分行业很多,记得以前班主任刘贵喜老师说,“希望大家都能在不同的细分领域,彼此成为互补的角色,同学间无需竞争”,扳下手指一一数来,就开发都可以分出十来种,运维,安全,咨询,网络,培训,项目经理,数据库各种领域专家,配置管理,质量管理,售前,售后。大家总觉得开发才是王道,其实每个细分领域都能挣到钱,都能做一番事业,而我想要的太多,样样懂一点,却又不精通,而明知道这是缺点,想克服却又无从下手,溯本清源,能够在工作中驾驭好计算机,提高工作效率就好,何必纠结于先学成什么,再干点什么呢?遇到问题,写程序解决,厘清责任,提高效率,驾驭好机器,足以,平时多乘几叶扁舟泛于江湖之上,又有何妨?