前言
一元复始,万象更新。
转眼之间,2025 年已走到尾声,2026 年悄然临近。回望这一年,在网络安全技术的学习与实践过程中,我经历了从零散接触到系统梳理的转变,也逐渐意识到:学习这门技术,真正重要的并不是掌握了多少工具,而是对技术本质的持续追问与理解。
在这个领域,知识覆盖面极广,同时技术迭代速度极快:今天刚出现的新漏洞,明天便有对应的工具与全新的利用方式。如果缺乏阶段性的整理与复盘,很容易停留在对“过时经验”的重复应用,难以形成真正可持续的技术能力。
这也是我开始通过博客记录学习心得与实践思考的原因,而本篇博客,正是对过去一年我在网络安全领域学习与实践的一次阶段性回顾与总结,希望通过这样的方式,对自身的成长进行一次清晰的复盘。
本篇博客仅作为个人复盘思考,有什么想法可以发在评论区,大佬勿喷哦~
三句话总结我的2025
对我自己2025年所学到的很多东西和感言,想了很久,决定用下面三句话做一个整体的总结:
“知识面决定攻击面”
在系统性的学习之后,我觉得这第一句话不仅存在于网络安全领域,在任何需要持续学习和实践的领域中,知识面的广度往往决定了认知边界的大小,而认知边界又会进一步影响人的判断与选择。
当然,我觉得这种知识面不仅仅是对于专业知识的储备,也包括是否具备从不同层面、不同视角出发,理解和看待问题的能力。
回到网络安全本身,这种差异尤为明显:比如一个常见的登录框,以前的我可能更多停留在抓包测试参数、尝试简单逻辑漏洞等较为直接的手段上;而随着深入学习与思路挖掘,在面对同样的场景时,我往往会先从信息收集入手,例如系统所使用的开发语言、框架特征、是否存在路径/源码泄露等,再结合这些信息逐步构建可能的攻击思路。有时,也会尝试站在开发者的角度审视实现逻辑,思考在哪些环节可能存在安全隐患。
这一年来,我觉得我最大的成长就是从单一视角向多维分析的转变,这让我逐渐体会到其实攻击面的发现,往往在于你看过了多少,又能想到多少,它是一个建立在对系统整体理解之上的结果。
“实践出真知”
这句话自不必多说,纸上得来终觉浅,绝知此事要躬行嘛。
很多你看似已经理解的概念,只有自己下去实践之后才知道自己是否是真的会了,不管是基础的环境搭建、漏洞成因的分析,还是payload的构造,单纯停留在理论层面的理解往往不是完整的,只有在不断的动手实践的过程中,才能意识到哪些认知是可靠的,哪些只是表面的理解。
就比如这个月爆出的React RCE漏洞,当时有些公众号、博客传得沸沸扬扬的PoC,其实自己下去搭建环境验证之后,会发现根本就是AI生成的无法利用,估计他们自己也没试过就发出来了。
这些经历也让我更加直观地认识到实践的重要性,也促使我的学习态度发生转变:在遇到一个观点时,从最初的直接接受,转到主动质疑,再通过实践验证,最终形成相对可靠的自我判断。
对我而言,我觉得这样一种思维方式的转变,也是我2025年比较大的收获。
“不知防,焉知攻”
这句话是我开始实习之后感触最深的一句话,在网络安全领域,攻击手段和防御机制都不是孤立存在的。作为攻击方,需要清楚防守方是如何设计安全策略、如何部署检测与限制机制的;而作为防守方,同样也必须理解攻击者通常会从哪些角度切入、如何绕过防护设备、又是如何一步步扩大危害的。
比如在谈到 EDR 绕过时,我曾一度认为:既然所有代码执行行为都会被 EDR 设备所记录,只要触发风险行为就会被立即上报并阻断,那任何攻击似乎都是“无效”的。但这种想法,本质上仍然是站在一个理想化防御模型下的直觉判断。
直到我真正接触到不同厂商的 EDR 产品之后,才意识到现实情况和想象中完全不一样。厂商出于性能、误报率以及用户体验等方面的权衡,EDR 不可能对所有行为进行同等强度的监控与拦截,它往往需要在“可用性”与“安全性”之间不断取舍。而这些取舍,恰好就构成攻击者可以利用的空间。
也正是在这种过程中,我才真正理解了“不知防,焉知攻”的含义,站在不同的视角去看待和思考问题,真的会有很多意想不到的效果。同样,“不知攻,焉知防”,从防御的角度回看,这些攻击手法也能反向促使我们重新审视现有策略的合理性与覆盖范围。
End
其实回望2025年,我并不觉得我掌握了多少高深技术,我也清楚的认识到自己仍然是个菜鸟,但在一次次学习和思考中,我逐渐找到了更加适合自己的学习方式。
对我而言,这些思维层面的转变,或许要比单纯掌握某个漏洞如何利用要更加重要一点。
最后,希望在即将到来的2026年,能够持续学习、持续进步,能够帮助到更多人,也能够成为更好的自己!