杨瑞林,2017级计算机科学与技术专业学生。
科联计算机协会副会长
β-house工作室安全团队负责人
主攻信息安全方向,目前在腾讯(北京)实习。
=========================================
个人学习心得分享
=========================================
很高兴能跟各位同学分享自己的一些大学经历和实习心得。首先简单的做个自我介绍,我是2017级计科的杨瑞林,主要方向是信息安全,即将步入大四,目前也有两段实习经历,分别是在杭州某安全公司的安全研究院以及腾讯的某安全实验室做安全研究,至于最后的工作去向还没有决定。下面我会主要针对安全方向来大致讲述一些自己大学的经历、实习的心得,还有一些对学弟学妹们的大学规划以及学习的建议。
大学是非常宝贵的一段时光,无论是学习知识还是参加各类活动甚至打游戏,我们都有相对充足的时间去安排,当然并不建议特别功利的学习或者大部分时间都忙于活动和娱乐,所以有相应合理的规划是比较重要的。对于我来说除了学习还有竞赛,我也一直是学校的足球队的一员,同时也担任过科联计算机协会副会长以及β-house工作室安全团队负责人,平时的节假日有时间也会出去旅旅游。
下面简单分享下我建议的安全学习规划以及自己的经历。首先对于大一,我们学校的计算机专业会给我们提供很多重要的编程类课程学习,这些课程实际上对于我们以后无论选择哪个发展方向都是很重要,在此过程中把语言基础打好,对于之后快速学习任何一门语言都会有帮助,同时从安全的角度来说,熟悉对应的编程语言以及开发框架会在做代码审计以及漏洞挖掘中更快地构造漏洞利用代码,并且也可以从开发者的角度来思考可能出现漏洞的位置。在竞赛方面,信息安全的竞赛有两种模式分别是ctf和awd,通常我们接触到的都是ctf,如果对安全感兴趣也是比较建议大一就可以开始参加ctf,这类比赛通常都是在线上进行,同学们除了可以参加院赛,省赛还有国赛,也可以参加各大高校举办的公开赛还有各大公司举办的ctf比赛来锻炼自己,在这些过程中就会接触到非常多的安全知识比如二进制安全,web安全以及密码学相关的内容,同时也就会了解到各种安全漏洞类型比如栈溢出,sql注入等。了解之后我们就可以去深入学习相关的安全知识,其中会涉及很多编程知识以及计算机原理,那么之前在课堂中学到的知识就可以派上用场,当然如果课堂上没有教过,那么自学也是非常重要的,对于学计算机的学生,越早培养好自己的自学能力越好。
到大二后如果对安全依旧感兴趣,那么就需要在自己喜欢的方向比如我主要是做web安全,去深入学习的同时在参加安全竞赛中去争取获得好的成绩,大二主要是去深入一个具体方向以及在竞赛中努力争取一些好的成绩的过程。除此以外在学校课程中会逐渐接触到操作系统,计算机原理的课程,这些计算机基础课程同样十分重要,无论以后选择任何方向或者考研。当然我从安全的角度来解释,学好操作系统还有计算机网络的课程可以让你更好的理解底层的工作原理和网络每层的处理方式,它们会决定你对安全漏洞理解的深度,由此你才能去研究出更多的漏洞和找到根本的防护方式。到了大二结束,如果没有考研想法并且也希望以后从事安全工作,我是比较建议在暑假去找一份安全相关工作的实习来体验实际安全公司或者甲方安全部门所负责的事情和安全会涉及的内容。
因为大部分实际的安全内容我们在学校是无法完全接触到的,对于学生来说我们接触到的主要是应用安全部分,那应用安全具体也分很多比如黑盒、白盒的漏洞扫描,waf,sdl等等。那么你也会慢慢了解到,公司会涉及到的安全除了应用安全还有数据安全,红蓝对抗,可信计算,原生安全以及纵深防御的等等东西。所以对于大三,除了继续深化自己的技术水平,可以去实际接触这类东西,同时也可以挖掘一些实际的漏洞比如给一些公司的安全应急响应中心提交报告如阿里、腾讯等。最后大三还要面对的一个问题就是春招和秋招,因为有之前的实习经历和相关知识的深入学习以及成果,那么这个阶段就可以尝试去找师兄师姐去内推一些大厂面试。
下面就可以接着简单聊聊我的一些实习心得,今年暑假我是到腾讯的某安全实验室做安全研究,当然一部分工作内容是不方便透露,不过大多数都是在进行一些重要应用的漏洞挖掘和跟进行业内比较前沿的安全问题。做安全研究需要对某个领域有比较深入的学习和理解才能完成,其中可能遇到的问题最主要的就是心态方面,因为做研究的目的是出成果,而在研究过程中大多数情况都不能确定自己耗费的时间是否是有意义的,这是一个比较漫长的过程,会比较考验研究者的心态。同时这也是跟安全竞赛有很大不同的一个点,ctf是你知道这个应用存在漏洞去找,并且你基本上每一步都可以知道当前自己的进度,但实际中的漏洞研究并不是这样,一切未知的东西需要去探索,很有意思但也很考验心态和能力。在实习过程中我的一些研究成果也披露了出来比如影响包括阿里巴巴、网易、中国电信、滴滴出行和中国工商银行等150多家企业的dubbo远程代码执行漏洞,以及开发者常用的安全身份验证框架shiro的身份验证绕过漏洞等。总的来说,在腾讯和很多大佬学到了很多东西,自己对安全行业也有了更深的认识,无论之后离开还是留下都会非常感激这段经历。当然我做的是安全研究相关的工作,如果对安全感兴趣的同学可以去寻找适合自己的具体方向,比如做防御安全建设,做安全能力输出还有安全开发等等。
以上就是我想要分享的经历和对学弟学妹们的学习建议,也希望你们能从中获取到一些自己想要了解的东西。
学弟学妹们,大学期间好好加油吧!
杨瑞林
2020年8月