第二期守护者行动,将构建以“基石计划”(基础通识)为底座、以“专项共建”(专业深化)为支柱、以“公益讲师”(个性拓展)为脉络的“三擎驱动”融合培养生态。其中,“基石计划”是本次行动的核心人才培养体系,聚焦基础技能夯实与实战能力提升,坚持“普及为先、实战为要、公益为魂、以老带新”原则,面向全体学员开展阶梯化、循环式培养,培养具备安全意识、基础技能与实战协作能力的实用型人才。
每月一次选拔测试,每两周一次实训。期待加入!
【项目介绍】
实训营通过每月一测试选拔、专项活动优秀成绩晋级入营;入营后每两周一场实战演练,以“线上理论筑基+线下实战强能”为双轨培养模式,聚焦网络安全领域核心需求,通过渗透测试、漏洞挖掘、AI安全应用等实战模块,结合高仿真靶场环境与企业级攻防场景,由资深导师全程指导,旨在培养兼具安全意识、实战能力与职业素养的复合型网络安全人才。实训营以“从理论到实战、从校园到产业”为目标,助力学员突破技术瓶颈,完成从“理论派”到“实战派”的蜕变。
【导语】
在网络安全的世界里,理论是骨架,实战才是灵魂。
4月11日下午,北京网络空间安全协会报告厅迎来了一场“硬核”的头脑风暴。“基石计划”实训营——实战演练(第二场) 在这里开练啦!
这一次,我们不谈虚的。没有标准答案,没有固定模板,只有真实的漏洞挖掘与思维的碰撞。网安联资深专家级公益讲师贾凯老师亲临现场,带领来自北京联合大学、西安电子科技大学、北京政法职业学院、北京科技职业学院等高校的学员,从“渗透测试”到“AI赋能”,共同探索网络安全的底层逻辑。
破题:从“做靶场”到“建体系”
下午14:00,实训准时开始。与常规的“照本宣科”不同,本次演练采用“目标靶场攻击” 模式。贾老师在开场便向学员们抛出了一个核心命题:“不要为了做靶场而做靶场。”
贾老师强调,在真实的渗透测试项目中,甲方需要的不仅仅是一份漏洞列表,而是一套完整的逻辑闭环。因此,本次实训的第一个任务,就是打破“小白”思维,建立属于自己的渗透测试方法论。
导师金句:
“安全其实是围绕漏洞的,无论是意识上的漏洞还是系统上的漏洞。当你们坐在笔记本面前的时候,请忽略对与错,忽略法规,忽略人性,只看技术。因为做安全的人,必须违背常人的‘人性’视角,才能发现隐藏的风险。”
实战:手撕靶场,拒绝“工具人”
本次演练的核心内容是“挖漏洞”。学员们自带Kali系统笔记本,接入内网靶场,展开了一场紧张的攻防角逐。
现场直击:
- 环境搭建:学员们迅速连接Student WiFi,配置IP地址,进入战斗状态。
- 攻防博弈:面对靶场,学员们展现了不同的思路。有的同学上来就进行端口扫描,有的则尝试目录遍历。
- 痛点暴露:在实战过程中,不少学员遇到了“卡壳”时刻——扫描器扫不出东西怎么办?没有现成的Exploit怎么办?
深度解析:
贾老师在现场并没有直接给出通关秘籍,而是引导大家思考“无扫描器环境下的生存法则”。
- 基础内功:老师强调,必须熟背常见端口(如6379、50070等)及其对应的服务漏洞。
- 协议利用:在无法使用扫描器的情况下,如何利用ICMP、ARP协议甚至最原始的Socket编程去探测主机和端口?
- AI赋能:现场还演示了如何利用AI(如千问、Kimi)构建漏洞知识库,通过提示词工程让AI辅助生成POC和代码审计思路,让技术小白也能快速上手。
复盘:报告不是作业,是你的“武器”
演练结束后,贾老师对学员们的作业提出了更高要求——渗透测试报告。
不同于传统的模板填写,老师要求学员“自己去创新,自己去找模板” 。
- 分层汇报:报告要写给谁看?是给不懂技术的领导(只需看风险等级和整改建议),还是给运维/开发人员(需要具体的代码位置和复现步骤)?
- 知识转化:老师指出,做靶场的最终目的,是建立自己的 “知识树”。要将漏洞原理、利用工具、思维导图全部梳理清楚,形成一套可复用的资产。
结语:筑牢数字时代的“基石”
历时两个半小时的实战演练,在思维的碰撞中落下帷幕。这不仅是一次技能的考核,更是一次职业素养的洗礼。
“基石计划”作为北京网络空间安全协会的人才培养体系,始终致力于将高校学子从“理论派”培养为“实战派”。通过这种高强度的线下实训,学员们不仅掌握了Web安全、内网渗透的基础技能,更重要的是,他们开始学会像黑客一样思考,像守护者一样行动。
成绩将纳入营员体系,优异者将优先推荐参与后续护网行动及实习面试! 让我们期待这些“基石”们,在未来的数字战场上绽放光彩!
【下期预告】
下一次实训,我们将不再满足于“已知”的靶场。敬请期待更复杂的实战环境,我们不见不散!
【互动话题】
如果你在现场,面对“无扫描器”的环境,你会用什么最“土”的办法去探测端口?
欢迎在评论区留下你的奇思妙想。留言学员可获得积分记录哦!
【加入我们】
5月17日(周五)晚进行第二轮选拔测试,欢迎报名!
如果您也想加入我们,请关注公众号招募通知。