早在2017年,IBM中国研究院院长、IBM大中华区首席技术官沈晓卫就曾说“随着大数据时代的到来,也随着人工智能认知计算中的重要突破,我们认为整个IT行业进入了认知时代。”随着IT行业发展的日趋迅猛,IT产业的产值成倍增长,这句话得到了很好的印证。
与发展密切相关的就是人才,但要想成为一名真正的【IT人才】并不简单。
IT行业的强关联性、高技术性固然对从业人员提出更高的专业要求。一名合格的【IT人才】必然是精通一门或多门编程语言的同时还要掌握当下主流的编程语言,这样才能跟上行业高速发展的脚步。
道理很简单,就像你在五金店里买的工具一样,同样的工作你可以使用许多工具,但是每项工作都有一个最适合的工具。比如,你可以用扳手来敲击钉子,通过这种方式你也能把钉子钉进去,但是显然用锤子是更聪明的做法。
接下来我们要谈的就是目前主流的安全相关的编程语言。
1、Python
没错,截止目前还没有其他任何语言能撼动Python 在网络安全领域的领先地位。
首先,Python是一种通用的服务器端脚本语言(无需编译),已经被应用到成千上万的安全项目中。由于其非常容易上手和使用而且每天都会开发出许多出色的模块来帮助你解决你可能遇到的几乎所有问题,因此目前绝大多数安全工具和 PoCs 都是用 Python 编写的。
所以我们建议,即使你不打算使用它,也尽可能地学习如何使用 Python 读取/修改脚本。只要你从事这个领域的相关工作,那么在将来你极有可能会用到它。
2、JavaScript
JavaScript用过的人都觉得烦,但从实用性、功能性上来看,还没有其他编程语言可以从功能上完全替代它。这也是为什么当下的每个主流浏览器都支持它、几乎每个 Web 开发人员都在使用它的主要原因。
如果你从事网络应用程序的渗透测试或者是一名bug 赏金猎人等等,不熟悉 JavaScript 势必会给你带来阻碍。举个栗子,网络上最常见的漏洞之一——跨站脚本漏洞,简称(XSS),你猜怎么着?它其实是一种主要基于 JavaScript 的网络安全攻击。
3、PowerShell
在国内,8成以上的计算机仍是使用Windows 系统,足以证明Windows在行业的支配地位。银行一直使用 Windows XP 直到以后实在没法用了为止,在国外,美国联邦政府所有部门都使用 Windows (通常不是 XP ...)……这就给了PowerShell极大的发挥空间:除了不能阻挡新冠疫情外,基本上啥都能干,换句话说,PowerShell是 Windows 机器后期开发的动力源,比如转储 ADFS 用户的电子邮件和帮助提升用户权限等等都要用到PowerShell。
说到这,我们再讲一下汇编语言,虽然汇编语言并不适合所有开发工况,但是,如果没有进行逆向工程,那么任何安全编程语言清单都是不完整的。
在这里就不得不提 IDA 和 Ghidra,都是非常高效的可以帮助进行逆向工程的工具。所以我们建议,如果你对恶意软件和逆向工程感兴趣的话,学习下汇编语言总是没错的。
再聊聊Ruby(Ruby图文详解点我)
因为很多大型的安全工具都是用 Ruby 编写的 (比如 metasploit ) 它就像 Python一样:简单易用,并且有大量的社区支持。这里再悄悄告诉各位想做兼职的同学,用Ruby做兼职简直是最合适不过了,因为不管是安全应用程序开发还是其他普通应用程序开发,他都能搞定哦。
最后再给大家科普一下那些没有被列入名单但却很好用的安全相关的编程语言。
Golang/Go: 一种强大的编程语言,可以编译成稳定的、超快的、跨平台兼容的可执行文件。像 GoPhish 这类的工具是用 Go 编写的。
C (不是C++): 久经考验的编程语言标准。我都想把这个放在逆向工程编程语言列表中了,因为了解 C 可以*帮助你提高逆向工程和分析恶意软件的能力。
HTML 和 CSS : 它俩不是编程语言,如果要不是觉得有些不妥,我甚至考虑将其与 JavaScript 并列了。知道如何正确和错误地使用它们将有助于 Web 应用程序渗透。
END
