近半年我一直在整理网络安全相关资料,对于网络安全该怎么入门我谈谈我的看法,网络安全一直处于法律的边缘,学的不好或者剑走偏锋一下子人就进去了,所以我建议入门前先熟读《网络安全法》,除此之外还有《互联网安全产品漏洞管理规定》《gj 安全法》、《数据安全法》、《个人信息保护法》。
在基础阶段,我建议先掌握 Linux 操作系统,完全免费,而且在 Linux 系统中不光木马、病毒极少,连流氓软件也几乎销声匿迹。
当然,如果你不仅掌握了 Linux 操作系统,对计算机网络的基础知识也十分熟知,并且掌握了 SHELL、HTML/CSS、JavaScript、PHP 基本语法、MySQL 数据库等基础知识。
你可以转入渗透知识学习实操阶段了,渗透门槛较低,大多从事安全行业的人员都是渗透岗位。
在学习渗透测试阶段你需要掌握哪些知识?我大致归纳总结了下
-
SQL 注入的渗透与防御
-
XSS 相关渗透与防御
-
上传验证渗透与防御
-
文件包含渗透与防御
-
CSRF 渗透与防御
-
SSRF 渗透与防御
-
XXE 渗透与防御
-
远程代码执行渗透与防御
-
反序列化渗透与防御
-
逻辑漏洞
-
暴力猜解与防御
-
Redis 未授权访问漏洞
-
AWVS 漏洞扫描
-
Appscan 漏洞扫描
-
Nessus 漏洞扫描
-
MSF-Metasploit Framework
-
社会工程学
-
ARP 渗透与防御
-
系统权限提升渗透与防御
-
DOS 与 DDOS 渗透与防御
-
内网相关渗透与防御
-
无线安全相关渗透与防御
-
木马免杀问题与防御
-
vulnhub 靶场实战系列
-
Kali 高级渗透测试
其中每个知识点下,又细分了不少内容,由于篇幅有限,写太多了也没人看,渗透篇我已经罗列整理为一套完整的思维导图了,如果你真的想深入了解,可以关注后查看后台我给你发的消息,取得这份渗透学习路线。
渗透学透了,你也能找到你份不错的工作,至于更进阶的安全管理及逆向方向这是后话了。