网络安全在2024好入行吗?(网络安全有前途吗)

网络安全在2024好入行吗?     前言
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
理由很简单&#xff0

前言

2024年的今天,进入网络安全行业需谨慎。 目前,信息安全领域就业对学历的要求比软件开发领域宽松,不乏高中毕业就被录用的优秀人才。

原因很简单。目前985大学和很多211大学都只设立了该专业,并且由于信息安全法的存在,在某些圈子里具有排他性的影响力。由于各大大学之间的技术交流都是在小圈子内进行的,所以很难说所有大学都能立即形成这样的圈子效应。除了北京邮电的一些学校外,他们只是根据学历来称呼学校的学习方向,不要听信不需要学习编程的营销观点。学习专业课非常重要,尤其是编程!

这直接决定了你的成长极限。你还是一个新学生,在学习编程和学习漏洞原理之后,你可以为所有漏洞创建一个小的射击范围,然后学习重现更多漏洞并跟踪该原理。脆弱性的形成。

在您学会安全之前,这条道路不一定适合每个人。如果你想愚弄我,那你就对了。

[—-免费获取以下所有学习资料,了解互联网安全。 —-】

1、网络原理:基本五层模型、基本路由协议、交换机、路由器、防火墙的功能及其基本工作原理。

2.操作系统: Linux操作命令、Windows操作命令及其服务构建、域和云构建及概念

3. 编程语言:我现在非常关注编程语言。因为理解漏洞,而不仅仅是常规的刷洞或目标爬行脚本,对理解编程语言有很大的影响。如果你把它看作一门语言,我们建议学习PYTHON、PHP、JAVA,以及MYSQL和前端。

4.学习经典的漏洞原理:学习一些经典的工具,观察一些攻击范围WP,尝试一些攻击范围,然后学习一些新的漏洞制定原理,尝试写一些POC,然后学习横向收集信息。升级、反查杀、痕迹清理、代码审计全由你决定。其实网上有很多安全教程,我觉得安全的基础知识都差不多,但是网络的基础知识和开发的基础知识真的很相似。我阅读并写了这篇文章,因为它很重要。安全是一个累积的过程。

一、基础部分

在基础知识中,您需要学习:

1、计算机网络:

重点学习OSI、TCP/IP 模型、网络协议、网络设备的工作原理,并快速浏览其他内容。

2.Linux系统及命令

目前市场上70%的Web服务器都运行在Linux系统上,所以如果你想学习如何侵入Web系统,你至少应该熟悉Linux系统并学习其中的常用操作命令。

学习秘诀:学会10%的常用命令,适用于90%的工作场景。掌握日常使用的10%的基本功能。如果您有任何疑问,请访问度娘。常用的Linux 命令只有50 到60 个,但许多初学者都急于记住它们。这种学习方法也是错误的。

3.Web框架

熟悉Web框架,专注学习前端HTML、JS等脚本语言,无需学习任何语言即可跟随您的开发思路。当然,您可以用PHP 编写最好的代码。但这不是发展。重要的事情说三遍。

4.数据库

需要学习SQL语法,需要了解SQL的高级语法才能学习相应的数据库语法。时间不够不会影响你后续的学习。毕竟你不是数据库分析师,所以没必要研究得太深

2. 网络安全

1. 网络渗透

学习OWASP排名前十的10多个常见Web漏洞的原理、利用、防护等知识点,并结合具体范围练习。

推荐射击场:热门射击场可在github平台搜索。推荐以下范围:DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等。有些是一般射击场。有些专门针对特定范围的漏洞。

2.安全工具学习

1. 网络渗透

学习OWASP排名前十的10多个常见Web漏洞的原理、利用、防护等知识点,并结合具体范围练习。

推荐射击场:热门射击场可在github平台搜索。推荐以下范围:DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等。有些是一般射击场。有些专门针对特定范围的漏洞。

2.学习安全工具

即使在网络普及阶段,你也需要学习一些必要的工具。

需要掌握的关键工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、Hydra、medusa、airspoof等。上述工具可以使用上面提到的开源射击场进行练习。多少钱才够呢?

练习已经快完成了。您可以访问SRC平台渗透真实站点,看看是否需要绕过WAF。特别是,您应该了解如何绕过WAF。通过系统学习并获得更多经验,晋级到下一个级别。

3、自动入侵

要实现自动化,您需要学习该语言并很好地使用它。如果您还无法使用您熟悉的语言,我们建议您学习Python。它易于使用,具有许多模块,对于创建多个脚本和工具非常有用。

学习Python不需要学习很多不必要的模块或开发数千行代码。你只能使用Python编写少量的工具和脚本,少则几行代码,多则1-200行代码。平均代码量已经很小了。例如,精简的域名爬虫代码只有1到20行核心代码。

学习Python语法需要几天时间。如果你有基本的编码知识,你可以在一天内学习Python语法,因为这是最快的方法,尽管所有语言都是相似的。学习语言的唯一方法就是编写代码。接下来尝试构建一些常用的工具,如爬虫、端口发现、数据包核心内容提取、内网活动主机扫描等。在线创建这样的代码并创建一些POC和EXP脚本。射击场仅供练习。你可能又问什么是POC和EXP?你可以自己做,养成良好的习惯。

4. 代码审计

这里的内容对编码能力要求比较高,所以如果你的编码能力较弱,一开始就跳过这部分的学习,并不会影响你在渗透之路上的学习和发展。

但是,如果您想进一步提高网络采用率,则需要精通后端开发语言。推荐使用PHP。这是因为大多数网站都是在后端使用PHP 开发的。当然,你还应该精通Python、ASP等。您已经在Java 和其他语言方面拥有良好的基础。

顾名思义,代码审计就是对别人的网站或系统的源代码进行审计,通过审计源代码和代码环境来检查系统是否存在漏洞的过程(属于白盒测试的范畴)。 )。

那么具体如何学习呢?具体研究内容如下。

掌握PHP的危险特性和安全设置

熟悉代码审计流程和方法

掌握一两个代码审计工具,比如seay。

掌握常用的功能审计方法(我们建议审计AuditDemo以获取信心)。

常见CMS框架审核(难点)

要审核CMS 框架,请访问一些官方CMS 网站并下载包含过去漏洞的多个版本以进行审核。例如,ThinkPHP 3.2版本存在多个漏洞。你可以尝试去理解代码,但是CMS框架的代码量比较大,所以基本上应该避免在没有系统学习框架的情况下阅读代码。学习一个框架后,您将能够使用代码审计方法和工具对其进行审计。事实上,如果您是一名开发人员,这并不像您想象的那么困难。恭喜你找到新工作。您已经拥有代码审计的先天优势。

于是有朋友问,“我编码实在是太差了,可以学一下代码审计吗?”代码审计不是学习网络安全的先决条件。如果你不能掌握它,它不会影响你。进一步学习或就业是可能的,但在某些阶段你应该选择更专业和更熟练的实践,例如网络入侵、内联网入侵或自动入侵。

三、内网安全

恭喜。学会了这些,基本上就可以找到渗透测试、Web渗透、安全服务、安全分析等与网络安全相关的工作了。

如果您想扩大就业机会并加强技术竞争,您需要了解有关内联网采用的更多信息。

内网知识有点难,涉及到目前市面上有的学习资料和射击场。内网学习的主要内容主要是内网信息采集、域入侵、代理和转发技术以及应用和系统权限提升。工具学习、防病毒技术、APT等。

四、渗透拓展

渗透/扩展部分也与具体岗位密切相关,所以请重点学习日志分析、安全增强、等级保证评估等。关于前三部分,网上的资料并不多,成熟的书籍和资源也不多。如果你能了解这一点,只需参考行业相关技术协会和行业共享资料即可。这一步比较好学,分为三个部分:日志分析、安全加固、应急响应。

但很多初学者缺乏基础知识,编码基础薄弱,所以最好先学习Web渗透和工具。会更容易保持高度的学习动机和热情。 PHP语言、自动化渗透、代码审计等内容可以放在最后,学完前面的知识后重新学习语言也比较容易。

4. 如何从零基础开始

当有人问我初学者如何快速有效地入门时,我毫不犹豫的回答是:找一门靠谱的入门课程,而不是看书或者慢慢地自己开始学习。

以下课程适合没有基础知识的朋友,即使是初学者也很容易理解。此外,每个课程都有相应的射击练习。这对于初学者来说非常有用,因为它可以让他们在实践中看到理论,加深理解,扩大学习范围。

接下来我们将为每个同学划分学习计划!

研究计划

那么,作为初学者,问题又出现了:我应该先学什么,接下来又应该学什么?

既然你诚实地问了,我就告诉你你需要从头开始学习什么。

第一阶段:初级网络安全工程师

接下来,安排一个月的基本网络安全计划。完成课程后,基本上可以找到与网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等。其中,如果学好级保证模块,就可以从事级保证工程师的工作。

总体薪资范围6,000-15,000

1.网络安全理论知识(2天)

了解行业背景和前景,决定发展方向。

学习有关网络安全的法律法规。

网络安全运营理念。

等保制度介绍、等保法规、流程、规范。 (很重要)

2.渗透测试基础知识(1周)

渗透测试程序、分类和标准

信息收集技术:主动/被动信息收集、Nmap工具、Google Hacking

漏洞扫描、漏洞利用、原理、使用、工具(MSF)、IDS绕过、防病毒侦察

主机攻防训练:MS17-010、MS08-067、MS10-046、MS12-20等。

3.操作系统基础知识(1周)

Windows系统常用功能及命令

Kali Linux系统常用功能及命令

操作系统安全(系统入侵调查/系统加固基础设施)

4.计算机网络基础(1周)

计算机网络基础、协议和体系结构

网络通信原理、OSI模型、数据传输流程

常用协议分析(HTTP、TCP/IP、ARP等)

网络攻击技术和网络安全防御技术

Web漏洞原理及防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5.数据库基础操作(2天)

数据库基础

SQL语言基础

加强数据库安全

6. 网络渗透(1周)

HTML、CSS 和JavaScript 简介

OWASP前10名

Web漏洞扫描工具

Web入侵工具:Nmap、BurpSuite、SQLMap、其他(Chop Knife、Miss Scan等)

所以到现在为止已经过去了大约一个月的时间。你已经成功成为“脚本小子”了。那么,你还想继续探索吗?

第二阶段:中级或高级网络安全工程师(视能力而定)

薪资水平:15,000 至30,000 日元

7.脚本编程学习(4周)

在网络安全领域。编程能力是“脚本小子”和真正的网络安全工程师之间的关键区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用的工具不能满足实际需求时,往往需要扩展现有工具或者可能需要创建工具或自动化脚本来满足要求。需要特定的编程技能。在分秒必争的CTF比赛中,需要具备一定的编程能力,才能有效地利用自制的脚本工具来实现各种目标。

对于从零开始的学生,我们建议选择一种脚本语言:Python/PHP/Go/Java,并学习常用库的编程。

设置您的开发环境并选择您的IDE。 PHP 环境推荐Wamp 和XAMPP,IDE 强烈推荐Sublime。

学习Python编程,包括语法、正则、文件、网络、多线程等常用库。推荐《Python核心编程》,不需要全部看完。

使用Python 创建漏洞利用程序,然后创建一个简单的网络爬虫。

学习基本的PHP 语法并创建一个简单的博客系统

熟悉MVC 架构并尝试学习PHP 或Python 框架(可选)。

了解引导布局或CSS。

第三阶段:顶级网络安全工程师

如果您有兴趣开始网络安全,请点击此处。 网络安全的主要优势:我们免费提供完整的入门级和高级共享的282G学习资源包。

分享学习资料

当然是【282G】网络安全工程师学习资料包,只给你方案,不给你学习资料。点击下面的二维码链接即可获取。

分享学习资料

当然是【282G】网络安全工程师学习资料包,只给你方案,不给你学习资料。点击下面的二维码链接即可获取。

#以上是关于网络安全的内容。 2024年进入这个行业容易吗?相关内容来源网络仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92396.html

(0)
CSDN的头像CSDN
上一篇 2024年6月26日
下一篇 2024年6月26日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注