一、什么是网络安全
网络安全可以根据攻击和防御的角度进行分类。经常听到的“红队”和“渗透测试”研究攻击方法,而“蓝队”、“安全运营”和“安全运维”研究防御。 技术。
无论网络是Web、移动、桌面还是云,Web安全技术都包括Web渗透技术和Web防御技术(WAF)。作为一名合格的网络安全工程师,需要既能攻又能守。毕竟,只有了解自己和敌人,才能取得每场战斗的胜利。
二、怎样规划网络安全
如果您是安全行业的新手,我们建议您从网络安全或Web安全/渗透测试入手,这些技术相对成熟且易于上手,市场需求较高。
请记住,如果你想学习网络安全,你应该先学习网络,然后学习安全,如果你想学习Web安全,你应该先学习Web,然后学习安全。
安全并不是孤立存在的,它是建立在其他技术之上的上层应用技术。没有这个基础,很容易陷入理论,“我知道发生了什么,但我不知道为什么”的情况,从而很难在安全的职业道路上前进。
如果你本来是做网络工程运维的,可以选择从网络安全方向入手,而如果你本来是做程序开发的,可以选择从Web安全/渗透测试方向入手。
当然,学习到一定程度或者获得一定工作经验后,不同方向的技术结合力会越来越高,需要对每个方向都了解一点。
根据上面的网络安全技能列表,很容易看出,在网络安全方面,您需要接触的技术要多得多。
需要学习的一般技能:
外围设备管理功能、钓鱼远程控制功能、域名入侵功能、流量分析功能、漏洞挖掘功能、代码审计功能等。
【助力安全学习一步到位,所有资源一次到位】
网络安全学习路线
20本渗透测试电子书
安全攻防注释第357页
50份安全面试指南
安全红队入侵工具包
网络安全要点
100个漏洞实例
各大安防厂商内部视频资源
CTF夺旗赛往期题解析
【1——请在评论区留言,一一告诉我】
点击获取网络安全资讯及策略
三、网络安全的知识多而杂,怎么科学合理安排?
1、基础阶段
《中华人民共和国网络安全法》(含18个知识点) Linux操作系统(含16个知识点) 计算机网络(含12个知识点) SHELL(含14个知识点) HTML/CSS(含44个知识点)(含知识点分) JavaScript(含41个知识点) PHP入门(含12个知识点) MySQL数据库(含30个知识点) Python(含18个知识点)
入门的第一步是系统学习计算机基础知识。这意味着学习操作系统、协议/网络、数据库、开发语言、常见漏洞原理等基础知识模块。
学习了到目前为止的基础知识后,是时候将其付诸实践了。
由于互联网和计算机化的普及,网站系统需要大量的外部工作,程序员的水平和运维人员的构成各不相同,需要学习的东西也很多。
2、渗透阶段
SQL注入入侵与防御(包含36个知识点) XSS相关入侵与防御(包含12个知识点) 上传验证入侵与防御(包含16个知识点) 文件包含入侵与防御(12) CSRF入侵与防御(包含) SSRF入侵与防御(包含6个知识点)XXE入侵与防御(包含5个知识点)远程执行代码入侵与防御(包含7个知识点)
掌握常见漏洞原理、用途和防御。即使在网络普及阶段,你也需要学习一些必要的工具。
需要掌握的关键工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、Hydra、medusa、airspoof等。上述工具可以使用上面提到的开源射击场进行练习。这就够了。
3、安全管理(提升)
渗透报告(含21个知识点) 等级防护2.0(含50个知识点) 应急响应(含5个知识点) 代码审计(含8个知识点) 风险评估(含11个知识点) 安全检查(数据安全(含12个知识点)点)(包含25个知识点)
主要包括渗透报告的制作、网络安全等级的防护分级、应急响应、代码审计、风险评估、安全检查、数据安全、法律制定等。
此阶段主要针对已经从事网络安全工作并需要晋升到管理职位的人员。如果您只是为了找到工程师的工作而学习,那么您可能会也可能不会在这个阶段学习。
4、提升阶段(提升)
密码学(含34个知识点) JavaSE入门(含92个知识点) C语言(含140个知识点) C++语言(含181个知识点) Windows逆向工程(含46个知识点) CTF夺旗大赛(含36个知识点)知识点)Android逆向工程(包含40个知识点)
主要包括密码学、JavaSE、C语言、C++、Windows逆向工程、CTF夺旗大赛、Android逆向工程等。
它主要针对已经从事网络安全工作并需要提高高级安全架构知识的人员。
四、网络安全学习路线
如果你确实想自学网络安全,我们建议你查看下面的学习路线图,其中详细介绍了学习每个知识点需要多长时间以及如何学习。总自学时间约为。半年了,个人测试有效(文末有惊喜):
1. Web安全相关概念(2周)
熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。 Google/SecWiki 按关键字(SQL 注入、上传、XSS、CSRF、一句话木马等)读取《精通脚本黑客》。它很旧并且有一些错误,但你仍然可以看到一些入侵。通过笔记/视频了解实际的闯入情况您可以在Google 上查看整个过程(闯入笔记、闯入过程、闯入过程等)。
2.熟悉入侵相关工具(3周)
熟练使用AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具。要了解此类工具的用途和使用场景,请首先使用软件名称Google/SecWiki 下载并安装这些软件的非后门版本,并在SecWiki 上搜索具体的教育资料。如:Brup教程、sqlmap等这些常用软件,你学会了如何安装Sonic Startup和创建入侵工具箱。
3、渗透实战(5周)
您将掌握入侵的所有阶段,并能够独立入侵小型站点。网上搜索入侵视频,思考入侵、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等思路和原理及关键词。找到自己的站点,搭建测试环境进行测试。记得把它隐藏起来。考虑入侵的主要阶段以及每个阶段需要执行哪些任务。考虑PTES 渗透测试性能标准、SQL 注入类型、注入原理和手动注入技术。了解文件上传原理、如何执行截断、双后缀欺骗(IIS、PHP)、漏洞利用分析(IIS、Nignix、Apache)等。 关于上传攻击框架的原理和类型的研究,以及具体的学习方法,可以参考Google/SecWiki。请参阅XSS。 Windows/Linux提权方法及具体使用方法请参见提权。请参阅: 开源渗透测试漏洞系统。
4、关注安全圈动态(1周)
及时了解Security Circle 的最新漏洞、安全事件和技术文章。通过SecWiki 浏览每日安全技术文章和活动,通过微博和Twitter 关注安全圈专家(如果遇到狂热关注你的专家或朋友),花时间了解更多本地和国际安全信息。可以通过feedly/鲜果博客来学习技术(不要局限于国内,更要注意日常生活中的积累)。如果你没有提要,你可以查看SecWiki 的统计栏来积极养成这个习惯。每天在SecWiki 上提交并积累安全技术文章的链接。多关注最新漏洞列表,推荐exploit-db、CVE中文库、乌云等。如果您遇到公开的漏洞,请尝试一下。如果您对国内和国际安全会议的主题和视频感兴趣,我们推荐SecWiki-Conference。
5. 熟悉Windows/Kali Linux(3周)
学习基本的Windows/Kali Linux 命令和常用工具。熟悉Windows中常见的cmd命令,如ipconfig、nslookup、tracert、net、tasklist、taskkill等。 Linux 上的常用命令(例如ifconfig)。ls、cp、mv、vi、wget、service、sudo 等。如果您熟悉Kali Linux系统的常用工具,请参阅SecWiki、《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。如果您熟悉metasploit 工具,请参阅SecWiki,《Metasploit渗透测试指南》。
6.服务器安全设置(3周)
了解如何配置服务器环境并运用您的思维来发现配置中的安全问题。在Windows 2003/2008环境中配置IIS时,要特别注意安全配置和执行权限。在Linux环境中配置LAMP安全时,主要考虑的是执行权限、跨目录权限和文件夹权限。 SecWiki – 有关配置、强化远程系统、限制用户名和密码登录、使用iptables 限制端口、配置软件Waf 以提高系统安全性、配置mod_security 和服务器上其他系统的信息,请访问SecWiki -参见ModSecurity。通过Nessus 软件对您的配置环境进行安全检查,以发现未知的安全威胁。
7.脚本编程学习(4周)
选择脚本语言:Perl/Python/PHP/Go/Java 并学习对常用库进行编程。设置您的开发环境并选择您的IDE。强烈建议在PHP 环境中使用Sublime。涵盖的内容包括语法、规律、文件和网络。多线程等流行库推荐。不要阅读所有内容。使用Python 创建漏洞利用并观看SecWiki 爬虫视频。创建一个简单的博客系统(参见视频《Python核心编程》)。熟悉MVC 架构并学习PHP 或Python 框架(可选)。要了解Bootstrap 布局或CSS,请参阅SecWiki-Bootstrap。
8.源代码审计和漏洞分析(3周)
您可以独立分析脚本源代码程序并发现安全问题。熟悉源代码审计的动态和静态方法,并学习如何使用SecWiki-Audit 分析程序。从乌云寻找开源程序中的漏洞,了解Web漏洞产生的原因。分析可以参考SecWiki-Code Audit,高级PHP应用漏洞审计技术,该技术研究了Web漏洞的形成原理以及如何在源代码层面避免此类漏洞,并将其编译成清单。
9.安全系统设计与开发(5周)
您将能够建立自己的安全系统并提出安全建议和系统架构。开发并开源一些反映您个人优势的实用安全小工具。建立自己的安全系统,对企业安全有独特的理解和洞察,提出或参与大型安全系统的架构和开发。
终于
一旦你组织好了你的知识框架并知道你想如何学习,下一步就是将内容嵌入到该框架中。
目前有很多选择比如CSDN、知乎、哔哩哔哩等,很多人都在分享自己的学习资料,但这里有一个很大的问题是,一些免费分享的教程是碎片化的。有序言与字幕不符,让你学习时一头雾水。 这是我自学后的个人体会。
如果您真的想自己学习,我将分享我整理的教程。这些教程不仅包括网络安全,还包括渗透测试和其他内容,例如电子书、面试题、PDF文档和视频。以及相关的课件,你已经学会了。请点击“喜欢”按钮并在评论部分留下“关注”消息。可以免费分享给大家!不耐烦的朋友也可以直接把我踢下平台!或者关注我,后台会自动发给大家。关注我们后,请关注幕后新闻!或点击点击获取网络安全信息及策略
我对朋友们的建议是,自学网络安全没有捷径。相比之下,系统化的网络安全是最具成本效益的方法,因为它可以节省大量的时间和精力成本。等等,既然你已经走在这条路上了,即使未来看起来很困难,只要你咬紧牙关,坚持下去,最终一定会得到你想要的结果。
网络安全学习资料和教程。点击免费获取
2. 黑客工具、SRC技术文档、PDF书籍、网络安全等(可共享)
推荐书籍清单:
计算机操作系统:
[1] 编码:隐藏在计算机软件和硬件背后的语言
[2] 深入理解操作系统
[3] 深入理解Windows操作系统
[4] Linux内核及实现
编程开发类:
[1] Windows 编程
[2] 它将是Windows Core。
[3]Linux编程
[4] UNIX环境高级改造
[5] iOS 看起来像这样
[6]Android第1行代码
[7]C语言设计
[8] C 底漆+
[9] C 和指针
[10]C专家编程
[11] C 陷阱和缺陷
[12]汇编语言(王双)
[13]Java核心技术
[14]Java编程思想
[15]Python核心编程
[16]Linuxshell脚本策略
[17]算法简介
[18] 编译原理
[19]编译/反编译技术实战
[20] 如何清理代码
[21] 代码百科
[22]TCP/IP详解
[23] Rootkit:潜伏在系统灰色区域的人
[24] 黑客攻防技术指南
[25]加密与解密
[26] C++反汇编和逆向分析技术发布
[27] 网络安全测试
[28]白帽谈网络安全
[29] 精通脚本黑客
[30]Web前端黑客技术揭秘
[31] 程序员申请
[32]英语写作手册:风格要素
特别声明:
本教程纯粹出于技术分享目的。本教程无意为恶意方提供技术支持。我们还排除因滥用技术而产生的连带责任。本教程的目的是帮助大家最大限度地关注网络安全,并采取相应的安全措施,减少因网络安全造成的经济损失。
以上#网络安全(黑客)自学相关内容摘自网络,仅供大家参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92642.html