1樓:小鳥(0xbird)
我是從Web滲透測試轉入二進位制安全研究的,現在也是一直小菜鳥,強答一波。
如果不感興趣,或者耐不住寂寞,不建議從事這個行業。
2樓:k3n2y
10個人安全人員裡面有乙個二進位制的就是這樣的乙個比例,建議去15PB,會需要花費大量的時間,枯燥,見效慢不像web安全祝你成功
3樓:滲透是一種藝術
就業面狹窄,工資普遍比web安全高。
相對於web安全來說,學習周期長,學歷要求高,難度大。非興趣濃厚者不可修煉。
一般都是網際網路巨頭在招這方面的人。
211?985?
4樓:flyyy
看了前排的很多回答,感覺應該寫點東西了。。。沒想到大家對於二進位制安全方向的理解會有這麼多的不同。。。。
首先說一下大家都一致認為的乙個點,二進位制安全的主要就是挖漏洞,這個確實沒錯,因為不論是360的一些team還是tencent的一些實驗室都在做這個,比誰挖的洞多,比誰的洞厲害(比如近幾年的pwn2own就是很好的例子),用360齊總在今年360 pwn2own的慶功宴上的說法就是提公升了品牌價值。而且漏洞挖掘的過程會比ctf的pwn要枯燥無聊很多,沒有興趣確實很難堅持下去,這是第一點。
第二點,挖漏洞會是主要,但不會是全部(個人觀點)。做安全研究是一方面,但是挖漏洞之前,你需要學習大量的底層知識,例如,你要挖掘虛擬化軟體的漏洞,你需要先去學習什麼是虛擬化,搞明白之後才能去挖掘漏洞。如果將來你不想挖漏洞,那你的虛擬化知識就可以派上用場,找乙個做雲或者虛擬化的團隊,做加固,開發等等,都是可以的。
另外,我前面說了漏洞挖掘不會是全部,安全研究在我看來不等於挖漏洞,還包含了別的,包括你對某個軟體架構和安全性的理解等等。
第三,關於前面的回答,有人認為漏洞挖不完,很遺憾,就我目前所了解的,大家都認為漏洞只會越來越少(所以漏洞都沒了我們怎麼玩?我沒想過這個)
第四,關於上面有人回答認為,安全只是乙個噱頭,安全無法創造價值之類的觀點,我不同意。首先,就我了解的,BAT三家網際網路巨頭,有兩家都是有專門的團隊在挖掘自家產品的漏洞。那我想問一下,這兩家公司是傻麼要花錢僱一群人搞這個?
全做開發每年能多賺多少錢?
以上是純屬個人見解。
5樓:大德魯伊
個人對二進位制安全的感受是:一將功成萬骨枯。
相對於Web安全來講,二進位制就業面來說還是相對較窄,說到底還是門檻高並且難以自動化,並且沒有擊中目前很多網際網路公司的痛點(需求不明朗)。
二進位制安全可以有以下的方向:
去乙方做病毒分析、漏洞分析
去乙方的安全實驗室做漏洞研究、挖掘
去乙方參與二進位制層面的安全評估
去乙方.......
上面基本都是去乙方公司做研究導向的工作。如果想去甲方工作,講道理,包括我所在的團隊基本沒有這個需求,大量的崗位還是留給了Web安全方向、移動安全方向的同學。
為啥說是一將功成萬骨枯呢?說到底還是門檻以及深入學習的成本較高,學習曲線比較陡峭,但是非常適合興趣導向以及發誓一輩子專心做技術的同學,因為二進位制安全確實對技術的要求比較高。
相反,web安全選擇會更多一些,覺得自己不是技術的料,也可以往運營、安全管理等方向進行發展,因此就業面也相對較廣。
汗,編輯完才發現寫成web安全和二進位制安全的區別了。
總之,如果你對二進位制安全十分感興趣,同時也能靜得下心來鑽研技術(這一點很少人能做到),那麼不論其前景如何,你只要保證鑽研與堅持,幾年下來做到top N%也不是沒有可能,到時候估計漏洞bounty都拿到手軟了~~~~~
6樓:
門檻高,回報少。這個是真的。你看上面那些安全圈的名人,老人,都在模糊回報這個事情。因為,真的回報少。
另外,如果光搞二進位制漏洞挖掘,你的正向程式設計能力會停止不前。另外,搞這個東西,搞的是細節,研究多了,你的大局觀,或是說架構能力會出現問題。你的思維會掉到小坑裡出不來。
那麼,當你想做產品時,你就會發現自己的技術能力完全不匹配。
而市場對正向技術人員需求是最多的,回報也是非常不錯的。特別搞的了二進位制逆向的人,搞搞正向的東西,絕對是TOP10裡的人才。回報肯定也是IT業中TOP10的那一層。
講了這麼多,就是希望年青人才們不要掉到這個坑里來。
如果自己真的不想搞正向技術,可以考慮進入這個圈子。
7樓:雞鳴
這似乎和安全方面就業沒什麼直接掛鉤,就好比學生物的問物理分子原子對生物的影響,畢竟生物是由分子原子構成,但沒任何卵用比喻不太恰當
8樓:余弦
以「擁有getshell任意一台電腦的能力」這個為初心來看,二進位制安全的前景無與倫比。
而以「安全就是個失敗方向,而二進位制又是失敗中的失敗」這個為出發點來看,這個話題可以不用聊了。
9樓:
初心是想擁有在網路世界的超能力,擁有getshell任意一台電腦的能力。 目前在學習windows下的漏洞挖掘.......
難道不是應該先學網路,再學作業系統麼?掩面而逃
10樓:tombkeeper
資訊保安人才目前在全世界範圍內都比較缺乏。具體到國內,資訊保安人才的需求大約每年增長 1.5 萬人,但每年實際培養的人遠不夠這個數。所以資訊保安就業方面還是比較樂觀的。
到 2016 年,資訊保安專業本科畢業生的薪酬已經位居所有專業之首:
同時,資訊保安專業本科畢業生的就業滿意度也已經連續三年最高:
所以,至少從就業的角度說,資訊保安專業的前景還是不錯的。
具體到二進位制安全,因為並沒有專門針對二進位制安全方向的就業調查報告,所以我無法給出類似上面這樣的資料。但就我個人在行業裡的觀察來看,國內二進位制安全人才的缺口,是比整個資訊保安專業平均水平還要高的。不同層次和方向的二進位制安全人才都很缺乏,不只是缺一些頂尖高手。
另外啊,對於雞蛋到底該多少錢一斤這樣的問題,為什麼要在意魚丸的看法……
11樓:ZUHXS
瀉藥怎麼說呢…web安全入門相對比較容易,而且現成的工具比較多,自然指令碼小子也很多…
但是二進位制安全就不太一樣了,要先一點一點啃彙編,啃各種底層的協議,而且各種架構都得知道一些吧,學習曲線比較長,而且漏洞挖掘的時候還要有創造力,想象力。
搞搞ctf的pwn可能還好,真正沉迷搞二進位制很苦的,沒有那種興趣還真的堅持不下來……
說實話,web由於開發者水平參差不齊,很多常見漏洞會在多種場景不斷復現,但是二進位制安全就完全不同了,挖洞很需要耐心的,而且想提權、getshell可能還需要多個漏洞的「組合拳」,難度可想而知。
再說說前景,國內真正搞二進位制安全的公司並不多,就業真的是一將功成萬骨枯,類似@Flanker Edward這樣的大佬太太太難得了,可以說前景完全不如前端開發……
當然黑產例外
乙個剛入門pwn的菜雞隨便說幾句……
12樓:
不了解二進位制安全,不過感覺肯定比web安全門檻高太多,因此技術好的二進位制安全大神也相對來說比較稀缺。
甲乙方二進位制安全需求的崗位現在也在慢慢變多吧,比如移動安全逆向分析、溯源、威脅情報、主機安全防禦這些方面二進位制大神都能起到很大的作用。
因為門檻高,核心競爭力相比其它安全相關崗位更強一點,也不用擔心被替代。一般搞二進位制安全的做安全研究的比較多,不用擔心績效啥的~
所以想入坑二進位制安全,我覺得沒毛病,不過也要考慮學習成本, 門檻高學習的話可能更加費勁一些,如果很感興趣,那就學起。畢業之後不用擔心工作的問題,肯定會有公司要的……我身邊的二進位制小夥伴,比web狗工資高太多了,web狗不服也不行,沒毛病~ 。
我認為二進位制安全未來前景很不錯,移動安全、智慧型硬體等等方向肯定會需要大量二進位制安全方面的人才,反而web狗的未來比較堪憂啊。各種防護軟體、以及開發安全意識的提公升,web方面的漏洞越來越少,自動化的很多東西會慢慢替代web 的很多任務作內容,很堪憂!
13樓:
做安全確實不賺錢,360企業安全都是在虧損著跑,齊向東都還在尋求融資。360企業安全,啟明星辰,綠盟三家公司銷售額就佔了40%的安全市場銷售額(整個企業安全市場全部加起來才200億到300億)。王者榮耀2017Q1月流水超過30億元,整個企業安全市場盤子比不過乙個王者榮耀。
我參與360企業安全從建立到收購網神網康,360去年的年收入才做到10億(業界第一是啟明星辰),2023年目標20億。但困難之大誰都知道,銷售人員人數得翻番。
而企業安全對待員工待遇就不是那麼好了。在360企業安全員工和360集團(C端,個人產品端)比起來就是二等公民(福利待遇差點),這和其它企業安全公司比較還算比較好的。其它安全公司就更坑了。
所以要做安全,給的建議是盡量不要去給企業做安全服務的公司,去BAT 或者360集團,有點本事了去個網際網路公司做安全方向的總監。
算是給個建議吧,安全是個很好裝逼的地方,但對於賺錢來說還是靠人生機遇。
14樓:cause Be
關鍵看還是給自己的定位是怎麼樣,不是所有的人都有潛力成為 masterpwn 的。不管是哪個方向,你在上面多挖深一點,多精進一步,也許就會離大師近點。。你說的前景,最終還是得看你個人能力了。
15樓:
優點是1 加班少 。
2 只和機器打交道可以不和產品打交道公司的破爛事參與的比較少。
3 學的知識不容易過時,但是要學的很多。
4 菜鳥就業困難,經驗多的老人比較搶手 。
16樓:zigninjay
我感覺任何的加密方式都比不上social engineering. 想要資訊保安管住machine是不夠的,更重要的是管住人。
17樓:lslx
總體來說,web方向機會多,二進位制方向機會少,並且二進位制方向細分領域壁壘多,如果你做了x86平台,對arm平台來說沒什麼價值。如果做了web方向機會會相當多,未來選擇多。在影響力方面來說web方向大於二進位制,也決定了市場方向偏向web。
從投入的精力來說,二進位制方向投入的精力很大,影響反而小。建議做web方向,投資收益比比較高,高很多。一年內可能把關鍵技術掌握,而二進位制方向未必能搞完並且深入,搞完你會發現水很深,你發現需要乙個團隊來支撐。
如果特別想搞二進位制,那就選android吧,從最近來看這方面還是需求很大,並且短期不會飽和。對於ios,mac需求按道理來說也大,但真正的崗位卻比較少,加上其安全機制和補丁響應速度,可能你的長久的努力,會被乙個補丁分分鐘顛覆。你想問android補丁難道就不打?
因為市場原因,補丁落實到使用者手機上回滯後好幾年,並且這種狀況不會改變的。
128轉二進位制是什麼,難道是9位二進位制嗎?那是不是兩個位元組了?
California.US 128的二進位制表示是這個 int8 t 0b10000000 也就是 int8 t 0x80 對於8位有符號的0x80,符號位 最高位 為1,所以是負數。我們來驗證一下這個答案對不對 要想得到對應的正數,需要對其進行 反補碼 操作。對其減一,得到0x7F,對0x7F取反...
二進位制怎麼直接轉為八進位制?
辰璟 把乙個二進位制數分成三個一組,注意是重右往左分,不夠的數用零補,例如 1010111001 010 111,然後將每一組數用十進位制轉換,此處是二用二進位制轉換十進位制1 2 7,所以八進位制的數為127原理我解釋不清楚你自己看別人的吧 啪嗒星 通過高位補0把二進位制數字數補成3的整數倍,然後...
二進位制 八進位制 十進位制 十六進製制 怎麼學會?是怎麼算的方式?
訬禕 這個是前段時間發現的很有意思的進製轉換 看整數部分運算,本來十進位制轉二進位制整數轉換規則 除以基數二 取餘,最後商為0 但我發現這個解題過程,商數為1,結束轉換這種類似的錯誤普遍存在,但好在通過反向求和可以驗算轉換是否存在錯誤,我個人覺得驗算還是可以讓自己少一些錯誤。 我也是現在才真正想清楚...