听劝!普通人千万别随意入门网络安全

news2024/11/15 17:35:24

一、什么是网络安全

网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。

作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。

二、网络安全怎么入门

安全并非孤立存在,而是建立在其计算机基础之上的应用技术。脱离这个基础,就容易陷入纸上谈兵的境地,出现“知其然,不知其所以然”的情况,这在安全职业道路上难以取得长远成就。

如果你之前是从事网工的,可以选择网络安全方向入门;

如果你之前是从事程序开发的,推荐选择Web安全/渗透测试方向入门。

然而,随着学习深入或者工作经验的积累,不同方向的技术耦合逐渐增加,要求在各个方向都能有一定的了解。

网安技能表

1、网安学习线路图
2、老师教学笔记50份PDF
3、渗透测试技巧及电子书86份
4、攻防演练记录及笔记35份
5、网安工具包,32G
6、网安自学必看书籍352份PDF,28G
7、120个漏洞实战演练案例
8、网安面试题、CTF竞赛题等130份
9、专业老师搭建实战靶场30个
10、实训社群资源13000人

三、网络安全的知识多而杂,怎么合理安排学习?

1、基础阶段

  • 中华人民共和国网络安全法 (包含19个知识点)
  • Linux操作系统 (包含15个知识点)
  • 计算机网络 (包含15个知识点)
  • SHELL (包含13个知识点)
  • HTML/CSS (包含45个知识点)
  • JavaScript (包含42个知识点)
  • PHP入门(包含13个知识点)
  • MySQL数据库 (包含32个知识点)
  • Python (包含19个知识点)

入门的首要步骤是有系统地学习计算机基础知识,即深入研究以下几个基础知识领域:操作系统、协议/网络、数据库、开发语言以及常见漏洞原理。

一旦掌握了前述基础知识,就应着手进行实际操作。

2、渗透阶段

SQL注入的渗透与防御(包含38个知识点)
XSS相关渗透与防御(包含15个知识点)
上传验证渗透与防御(包含14个知识点)
文件包含渗透与防御(包含13个知识点)
CSRF渗透与防御(包含8个知识点)
SSRF渗透与防御(包含6个知识点)
XXE渗透与防御(包含7个知识点)
远程代码执行渗透与防御(包含8个知识点)

熟悉常见漏洞的原理、使用方法和防御等方面的知识是必要的。在进行Web渗透的阶段,了解一些关键工具也是重要的。

需要掌握的主要工具和平台包括:Burp、AWVS、Appscan、Nessus、Sqlmap、Nmap、Shodan、Fofa、以及代理工具SSRS、Hydra、Medusa、Airspoof等。对这些工具的实践可以通过上述提到的开源靶场进行,足以满足需求。

3、安全管理(提升)

  • 渗透报告编写(包含22个知识点)
  • 等级保护2.0(包含51个知识点)
  • 应急响应(包含6个知识点)
  • 代码审计(包含9个知识点)
  • 风险评估(包含12个知识点)
  • 安全巡检(包含14个知识点)
  • 数据安全(包含26个知识点)

主要内容包括渗透测试报告的编写、网络安全等级的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等方面。这个阶段主要面向那些已经从事网络安全相关工作,希望提升至管理层职位的人员。如果你的职业方向是网络安全工程师,那么这个阶段的学习可能是可选的。

4、提升阶段(提升)

  • 密码学(包含35个知识点)
  • JavaSE入门(包含95个知识点)
  • C语言(包含145个知识点)
  • C++语言(包含186个知识点)
  • Windows逆向(包含48个知识点)
  • CTF夺旗赛(包含38个知识点)
  • Android逆向(包含42个知识点)

涵盖的内容主要有密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。这个阶段的学习主要面向那些已经从事网络安全相关工作,希望提升至进阶安全架构领域的人员。

四、网络安全学习路线

若你真心希望通过自学方式初探Web安全领域,我建议你查阅以下学习路线图。该路线图详细指导每个知识点的学习时长和学习方法,全程自学时间约为半年左右,亲测有效(图片上传有点模糊,需要完整清晰学习路线的朋友——点击此处获取——)。

1. 网络安全概念学习(2周)

  • 掌握基本概念,包括SQL注入、文件上传、XSS、CSRF、一句话木马等。
  • 使用关键字(SQL注入、文件上传、XSS、CSRF、一句话木马等)进行Google/SecWiki搜索。
  • 阅读《精通脚本黑客》。尽管内容古老并可能存在错误,但仍适合入门。
  • 查阅渗透笔记/视频,了解整个渗透实战过程。使用搜索词(渗透笔记、渗透过程、入侵过程等)。

2. 渗透工具熟悉(3周)

  • 熟悉AWVS、sqlmap、Burp、Nessus、Chopper、Nmap、Appscan等相关工具的使用。
  • 了解这些工具的用途和使用场景,首先通过软件名字在Google/SecWiki上搜索。
  • 下载这些工具的无后门版本进行安装。
  • 学习并实践使用,搜索SecWiki上的具体教材,如Burp的教程、sqlmap。
  • 熟练掌握这些常用工具后,可以考虑安装音速启动,构建渗透工具箱。

3. 渗透实战操作(5周)

  • 掌握渗透的整个阶段,能够独立渗透小型站点。
  • 在网上找渗透视频,思考其中的思路和原理,使用关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等)。
  • 自己找站点或搭建测试环境进行测试,注意隐藏个人身份。
  • 思考渗透主要分为几个阶段,每个阶段需要做哪些工作,例如PTES渗透测试执行标准。
  • 研究SQL注入的种类、注入原理、手动注入技巧。
  • 研究文件上传的原理,包括如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nginx、Apache)等,参考上传攻击框架。
  • 研究XSS形成的原理和种类,具体学习方法可以在Google/SecWiki搜索,也可以参考XSS。
  • 研究Windows/Linux提权的方法和具体使用,参考提权。
  • 可以参考开源渗透测试脆弱系统。

4. 关注安全领域动态(1周)

  • 关注安全领域的最新漏洞、安全事件和技术文章。
  • 通过SecWiki浏览每日的安全技术文章和事件。
  • 在Weibo/Twitter关注安全领域的从业人员,尤其是大牛或者同行,每天抽时间浏览。
  • 使用feedly/鲜果订阅国内外安全技术博客,不仅限于国内,多积累关键信息。SecWiki的聚合栏目也是一个不错的选择。
  • 养成习惯,每天主动提交安全技术文章链接到SecWiki,进行分享和积累。
  • 多关注最新漏洞信息,推荐一些平台:exploit-db、CVE中文库、乌云等,实践公开漏洞利用。

5. 熟悉Windows/Kali Linux(3周)

  • 学习Windows/Kali Linux的基本命令和常用工具。
  • 熟悉Windows下的常用cmd命令,例如ipconfig、nslookup、tracert、net、tasklist、taskkill等。
  • 熟悉Linux下的基本命令,如ifconfig、ls、cp、mv、vi、wget、service、sudo等。
  • 掌握Kali Linux系统下的常用工具,可以参考SecWiki、《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。
  • 熟悉metasploit工具的使用,可以参考SecWiki、《Metasploit渗透测试指南》。

6. 服务器安全配置(3周)

  • 学习服务器环境配置,能够通过思考发现配置中存在的安全问题。
  • 针对Windows 2003/2008环境下的IIS配置,特别注意配置安全和运行权限,参考SecWiki-配置。
  • 针对Linux环境下的LAMP安全配置,主要考虑运行权限、跨目录、文件夹权限等,参考SecWiki-配置。
  • 进行远程系统加固,限制用户名和口令登录,通过iptables限制端口。
  • 配置软件WAF以加强系统安全,在服务器配置mod_security等系统,参见SecWiki-ModSecurity。
  • 使用Nessus软件对配置环境进行安全检测,发现未知安全威胁。

7. 脚本编程学习(4周)

  • 选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习。
  • 搭建开发环境并选择合适的IDE,例如PHP环境推荐Wamp和XAMPP,强烈推荐Sublime作为IDE。学习一些Sublime的技巧,参考SecWiki-Sublime。
  • 学习Python编程,包括语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》,不要一口气看完。
  • 使用Python编写漏洞的exploit,然后编写一个简单的网络爬虫,可参考SecWiki-爬虫、相关视频。
  • 学习PHP的基本语法并编写一个简单的博客系统,可参考《PHP与MySQL程序设计(第4版)》和相关视频。
  • 熟悉MVC架构,尝试学习一个PHP框架或Python框架(可选)。
  • 了解Bootstrap的布局或CSS,可参考SecWiki-Bootstrap。

8. 源码审计与漏洞分析(3周)

  • 能够独立分析脚本源码程序并发现安全问题。
  • 熟悉源码审计的动态和静态方法,并知道如何分析程序,参见SecWiki-审计。
  • 从乌云等平台寻找开源程序的漏洞进行分析并尝试自己分析。
  • 了解Web漏洞的形成原因,通过关键字查找分析,参见SecWiki-代码审计、高级PHP应用程序漏洞审核技术。
  • 研究Web漏洞的形成原理以及如何从源码层面避免该类漏洞,并整理成检查清单。

9. 安全体系设计与开发(5周)

  • 能够建立自己的安全体系,并能提出一些安全建议或系统架构。
  • 开发一些实用的安全小工具并开源,展现个人实力。
  • 建立自己的安全体系。

五、网络安全前景

网络安全领域发展迅速,未来的发展趋势也十分值得关注。可以选择从事以下方面的职业:网络安全工程师、渗透测试员、安全分析师、网络安全经理、安全顾问等。

一线城市3-5年的薪资都在3W+

六、补全知识框架(学习内容)

在建立了清晰的知识框架并确定学习方法后,接下来的关键步骤是填充框架内容。在这一阶段,我们有多种选择,例如CSDN、知乎、B站等平台上有许多人分享他们的学习资料。

然而,我认为这里存在一个重要问题,即内容的不连贯和不完善。许多免费分享的教程零散而杂乱,缺乏前后衔接,学习过程中容易感到困惑,这也是我在自学过程中亲身体会到的。

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1678457.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux-页(page)和页表

本文在页表方面参考了这篇博客,特别鸣谢! 【Linux】页表的深入分析 1. 页帧和页框 页帧(page frame)是内存的最小可分配单元,也开始称作页框,Linux下页帧的大小为4KB。 内核需要将他们用于所有的内存需求&a…

【Git教程】(十九)合并小型项目 — 概述及使用要求,执行过程及其实现,替代解决方案 ~

Git教程 合并小型项目 1️⃣ 概述2️⃣ 使用要求3️⃣ 执行过程及其实现 在项目的初始阶段,往往需要针对重要的设计决策和技术实现原型实验。当原型评估结束后,需要将那些成功的原型合并起来称为整个项目的初始版本。 在这样的情景中,各个原…

什么是ARP攻击,怎么做好主机安全,受到ARP攻击有哪些解决方案

在数字化日益深入的今天,网络安全问题愈发凸显其重要性。其中,ARP攻击作为一种常见的网络攻击方式之一,往往给企业和个人用户带来不小的困扰。ARP协议是TCP/IP协议族中的一个重要协议,负责把网络层(IP层)的IP地址解析为数据链路层…

Vmvare—windows中打不开摄像头

1、检查本地摄像头是否能正常打开 设备管理器—查看—显示隐藏设备—选中照相机—启动 USB2.0 HD UVC—打开相机查看 2、检查虚拟机的设置 虚拟机—虚拟机—可移动设备—USB2.0 HD UVC—勾选在状态栏中显示 虚拟机—打开windows主机—右小角选中圆圈图标—勾选连接主机 此时…

办公园区建筑科技风效果(html+threejs)

办公楼科技风(Htmlthreejs) 初始化三维场景 function init() {container document.getElementById(container);camera new THREE.PerspectiveCamera(65, window.innerWidth / window.innerHeight, 0.1, 150000000);camera.position.set(550, 600, 690);scene new THREE.Sce…

MES系统追溯管理功能,迅速定位问题源头

一、MES系统概述 MES系统是一种实现车间生产智能化、信息化的管理系统,通过对生产现场的数据进行实时采集、处理和分析,为企业管理者提供准确、及时的生产信息。MES系统主要包括生产订单管理、物料追溯、质量管理、设备管理、物料管理、人员管理等功能模…

探索数据结构(让数据结构不再成为幻想)

目录 什么是数据结构 数据与结构 什么是算法 复杂度分析 时间复杂度与空间复杂度 时间复杂度 思考: 空间复杂度 常数阶O(1) 对数阶O(logn) 线性阶O(n) 以下为空间复杂度为O(n) 线性对数阶O(nlogn) 平方阶O(n) 指数阶O(2^n) 什么是数据结构 数据结构…

Python送你小花花

快到520了,准备好送上你的爱意了吗? 还记得去年从网上模仿了一篇python使用turtle画的小花花程序,当时还没有转行到程序员行业,刚刚入门学习编程,还在纠结是学习python、Java还是C#的时候。 总会被一些猎奇的内容吸引&…

uniapp如何打包预约按摩H5?

uniapp如何打包预约按摩H5? 开发工具:HBuilderX 一、如何修改域名配置? 1、修改公众号AppID、页面访问路径 1)gzh_appid: 公众号AppID siteroot: 域名,需更换为你自己的域名以及公众号APPID,域名格式【htt…

雍禾植发张东宏:以诚相待毛发患者

医学道路上的奋斗往往需要坚定的信念和不懈的努力。对于张东宏医生来说,医学并非止步于书本知识,而是一次次与患者对话、一次次实操中的历练和积累。在他的成长历程中,医学之路如同一棵参天大树,每一步都是扎实的打磨,…

windows设置Redis服务后台自启动

问题 在日常开发过程中,redis是我们常用的缓存工具,但是由于redis对于Linux系统进行开发的,在Linux系统里可以通过修改redis.conf从而从而实现后台启动。 daemonize no 改成 daemonize yes 但是在window上如何也进行后台运行呢&#xff0c…

Arduino红外遥控器,控制继电器水泵

我们将讨论如何使用Arduino和IRremote库来实现通过红外遥控器控制继电器的开关。通过这个项目,你将学会如何接收和解码红外信号,并根据接收到的信号控制继电器(这里的继电器可以换成其他传感器)的状态。 项目简介 我们将使用Ard…

自由职业是种怎样的体验?普通人如何成为一名自由职业者?

自由职业在哪都能办公自由职业在哪都要办公。 放弃幻想,没有不辛苦的工作,5年经验后端开发程序员,已经从事自由职业1年半,今天就来客观分享一下自由职业的利与弊。 时间自由,减少中间商赚差价 自由职业最让人羡慕的就…

探秘Web3科技:科技变革的下一个风口

引言 随着互联网的发展,我们正处于一个数字化时代,而Web3技术被认为是数字革命的下一个风口。相较于传统的Web2,Web3技术以其去中心化、安全可信的特点,正在引领着科技变革的潮流。本文将深入探讨Web3科技,揭示其背后…

泽攸科技无掩模光刻机:引领微纳制造新纪元

在当今科技迅猛发展的时代,微纳制造技术正变得越来越重要。泽攸科技作为这一领域的先行者,推出了其创新的无掩模光刻机,这一设备在微电子制造、微纳加工、MEMS、LED、生物芯片等多个高科技领域展现出了其独特的价值和广泛的应用前景。 技术革…

C#实现各种Hash计算

C#实现各种Hash计算 文章目录 C#实现各种Hash计算涉及框架及库目前支持可计算的类型核心代码完整可运行代码 BCrypt总结 涉及框架及库 自己在NuGet管理器里面安装即可 BouncyCastle.Cryptography:是加密算法和协议的.NET实现。 目前支持可计算的类型 BLAKE2B_16…

Laravel中使用MinIO进行文件操作及ZIP解压

Laravel中使用MinIO进行文件操作及ZIP解压指南 介绍 在本指南中,我们将详细介绍如何在laravel框架中操作minio,包含方法有:桶列表,创建桶,修改桶,上传文件,删除文件,生成直传链接&…

【全开源】JAVA语聊大厅语音聊天APP系统源码

语聊大厅语音聊天源码:打造专属的语音社交平台 核心功能 多人语音聊天:支持多人同时在线语音聊天,用户可以创建或加入不同的聊天室,与好友或陌生人进行实时互动。语音转文字:提供语音转文字功能,方便用户…

Folder Icons for Mac v1.9激活版:自定义文件夹图标

在追求个性和品味的今天,Folder Icons for Mac 让您的Mac桌面焕然一新。支持多种格式的图片和图标文件,满足您不同的审美需求。同时,软件提供丰富的图标库和模板,让您在定制文件夹图标时更加得心应手。Folder Icons for Mac 不仅能…