前言
2024年的今天,进入网络安全行业需谨慎。 目前,信息安全领域的就业对学历的要求比软件开发领域宽松,聘用的高中毕业生也不少。
原因很简单。目前985大学和很多211大学都只设立了该专业,并且由于信息安全法的存在,在某些圈子里具有排他性的影响力。由于各大大学之间的技术交流都是在小圈子内进行的,所以很难说所有大学都能立即形成这样的圈子效应。除了北京邮电的一些学校外,他们只是根据学历来称呼学校的学习方向,不要听信不需要学习编程的营销观点。学习专业课非常重要,尤其是编程!
这直接决定了你的成长极限。你仍然是一个新学生,在学习编程和学习漏洞原理之后,你可以为所有漏洞创建一个小的射击范围,然后学习重现更多漏洞并跟踪该原理。脆弱性的形成。
在您学会安全之前,这条道路不一定适合每个人。如果你想愚弄我,那你就对了。
[—-免费获取以下所有学习资料,了解互联网安全。 —-】
1、网络原理:基本五层模型、基本路由协议、交换机、路由器、防火墙的功能及其基本工作原理。
2.操作系统: Linux操作命令、Windows操作命令及其服务构建、域和云构建及概念
3. 编程语言:我现在非常关注编程语言。因为理解漏洞,而不仅仅是常规的刷洞或目标爬行脚本,对理解编程语言有很大的影响。如果你把它看作一门语言,我们建议学习PYTHON、PHP、JAVA,以及MYSQL和前端。
4.学习经典的漏洞原理:学习一些经典的工具,观察一些攻击范围WP,尝试一些攻击范围,然后学习一些新的漏洞制定原理,尝试写一些POC,然后学习横向收集信息。升级、反查杀、痕迹清理、代码审计全由你决定。其实网上有很多安全教程,我觉得安全的基础知识都差不多,但是网络的基础知识和开发的基础知识真的很相似。我阅读并写了这篇文章,因为它很重要。安全是一个累积的过程。
一、基础部分
在基础知识中,您需要学习:
1、计算机网络:
重点学习OSI、TCP/IP 模型、网络协议、网络设备的工作原理,并快速浏览其他内容。
2.Linux系统及命令
目前市场上70%的Web服务器都运行在Linux系统上,所以如果你想学习如何侵入Web系统,你至少应该熟悉Linux系统并学习其中的常用操作命令。
学习秘诀:学会10%的常用命令,适用于90%的工作场景。掌握日常使用的10%的基本功能。如果您有任何疑问,请访问度娘。 Linux常用命令只有50到60条,很多初学者都急于记住它们。这种学习方法也是错误的。
3.Web框架
熟悉Web框架,专注学习前端HTML、JS等脚本语言,无需学习任何语言即可跟随自己的开发思路。当然,如果你能读懂代码,PHP是最好的,但这不是开发。重要的事情说三遍。
4.数据库
需要学习SQL语法,需要了解SQL的高级语法才能学习相应的数据库语法。时间不够不会影响你后续的学习。毕竟你不是数据库分析师,所以没必要研究得太深
2. 网络安全
1.网络渗透
学习OWASP排名前十的10多个常见Web漏洞的原理、利用、防护等知识点,并结合具体范围练习。
推荐射击场:热门射击场可在github平台搜索。推荐以下范围:DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等。有些是一般射击场。有些专门针对特定范围的漏洞。
2.安全工具学习
1.网络渗透
学习OWASP排名前十的10多个常见Web漏洞的原理、利用、防护等知识点,并结合具体范围练习。
推荐射击场:热门射击场可在github平台搜索。推荐以下范围:DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等。有些是一般射击场。有些专门针对特定范围的漏洞。
2.学习安全工具
即使在Web普及阶段,你也需要掌握一些必要的工具
需要掌握的关键工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、Hydra、medusa、airspoof等。上述工具可以使用上面提到的开源射击场进行练习。多少钱才够呢?
练习已经快完成了。您可以访问SRC平台渗透真实站点,看看是否需要绕过WAF。特别是,您需要了解如何绕过WAF。通过系统学习并获得更多经验,晋级到下一个级别。
3、自动入侵
要实现自动化,您需要学习该语言并很好地使用它。如果您还无法使用您熟悉的语言,我们建议您学习Python。它易于使用,具有许多模块,对于创建多个脚本和工具非常有用。
学习Python不需要学习很多不必要的模块或开发数千行代码。 Python只能用来编写少量的工具和脚本,少则几行代码,多则1-200行代码。平均代码量已经很小了。例如,精简的域名爬虫代码只有1到20行核心代码。
学习Python语法需要几天时间。如果你有基本的编码知识,你可以在一天内学习Python语法,因为这是最快的方法,尽管所有语言都是相似的。学习语言的唯一方法就是编写代码。接下来尝试构建一些常用的工具,如爬虫、端口发现、数据包核心内容提取、内网活动主机扫描等。在线创建这样的代码并创建一些POC和EXP脚本。射击场仅供练习。你可能又会问什么是POC和EXP?你可以自己做,养成良好的习惯。
4. 代码审计
这里的内容对编码能力要求比较高,所以如果你的编码能力较弱,一开始就跳过这部分的学习,并不会影响你在渗透之路上的学习和发展。
但是,如果您想进一步提高网络采用率,则需要精通后端开发语言。推荐使用PHP。这是因为大多数网站都是在后端使用PHP 开发的。当然,你还应该精通Python、ASP等。您已经在Java 和其他语言方面拥有良好的基础。
顾名思义,代码审计就是对别人的网站或系统的源代码进行审计,通过审计源代码和代码环境来检查系统是否存在漏洞(属于白盒测试的范畴)。
那么具体如何学习呢?具体研究内容如下。
掌握PHP的危险特性和安全设置
熟悉代码审计流程和方法
掌握一两个代码审计工具,比如seay。
掌握常用的功能审计方法(我们建议审计AuditDemo以获取信心)。
常见CMS框架审核(难点)
要审核CMS 框架,请访问一些官方CMS 网站并下载包含过去漏洞的多个版本以进行审核。例如,ThinkPHP 3.2版本存在多个漏洞。你可以尝试去理解代码,但是CMS框架的代码量比较大,所以在没有系统学习框架的情况下基本上不要去看代码。学习一个框架后,您将能够使用代码审计方法和工具对其进行审计。事实上,如果您是一名开发人员,这并不像您想象的那么困难。恭喜你找到新工作。您已经拥有代码审计的先天优势。
于是有朋友问,“我编码实在是太差了,可以学一下代码审计吗?”代码审计不是学习网络安全的先决条件。如果你不能掌握它,你的代码审计不会受到影响。进一步学习或就业是可能的,但在某些阶段您将需要选择更专业和更熟练的实践,例如网络入侵、内联网入侵或自动入侵。
三、内网安全
恭喜。学会了这些,基本上就可以找到渗透测试、Web渗透、安全服务、安全分析等与网络安全相关的工作了。
如果您想扩大就业机会并加强技术竞争,您需要了解有关内联网采用的更多信息。
内网知识有点难,和目前市面上有的学习资料和射击场有关。内网学习的主要内容主要是内网信息采集、域入侵、代理和转发技术以及应用和系统权限提升。工具学习、防病毒技术、APT等。
四、渗透拓展
渗透/扩展部分也与具体岗位密切相关,所以请重点学习日志分析、安全增强、等级保证评估等。对于前三部分,互联网上的信息不多,也没有太多成熟的书籍或资源。一旦学会了这一步,你就可以向行业相关的技术小组和资源学习。三个部分比较好学:日志分析、安全加固、应急响应。
但很多初学者缺乏基础知识,编码基础薄弱,所以最好先学习Web渗透和工具。会更容易保持高度的学习动机和热情。 PHP语言、自动化渗透、代码审计等内容可以放在最后,学习完前面的知识后重新学习语言也相对容易。
4. 如何从零基础开始
当有人问我初学者如何快速有效地入门时,我毫不犹豫的回答是:找到可靠的入门课程,而不是看书或慢慢开始自己学习。
以下课程适合零基础知识的朋友,即使是初学者也很容易理解。每门课程还有相应的射击练习。对于初学者来说非常有用,因为它可以让他们在实践中检验理论,加深理解,扩大学习范围。
接下来我们将为每个同学划分学习计划!
研究计划
那么,作为初学者,问题又出现了:我应该先学什么,接下来又应该学什么?
既然你诚实地问了,我就告诉你你需要从头开始学习什么。
第一阶段:初级网络安全工程师
接下来,安排一个月的基本网络安全计划。完成课程后,基本上可以找到渗透测试、Web渗透、安全服务、安全分析等与网络安全相关的工作。其中,如果学好级保证模块,就可以从事级保证工程师的工作。
总体薪资范围6,000-15,000
1.网络安全理论知识(2天)
了解行业背景和前景,决定发展方向。
学习有关网络安全的法律法规。
网络安全运营理念。
介绍等保、等保法规、流程、规范。 (很重要)
2.渗透测试基础知识(1周)
渗透测试程序、分类和标准
信息收集技术:主动/被动信息收集、Nmap工具、Google Hacking
漏洞扫描、漏洞利用、原理、使用、工具(MSF)、IDS绕过、防病毒侦察
主机攻防训练:MS17-010、MS08-067、MS10-046、MS12-20等。
3.操作系统基础知识(1周)
Windows系统常用功能及命令
Kali Linux系统常用功能及命令
操作系统安全(系统入侵调查/系统加固基础设施)
4.计算机网络基础(1周)
计算机网络基础、协议、体系结构
网络通信原理、OSI模型、数据传输流程
常用协议分析(HTTP、TCP/IP、ARP等)
网络攻击技术和网络安全防御技术
Web漏洞原理及防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5.数据库基础操作(2天)
数据库基础
SQL语言基础
加强数据库安全
6. 网络渗透(1周)
HTML、CSS 和JavaScript 简介
OWASP前10名
Web漏洞扫描工具
Web入侵工具:Nmap、BurpSuite、SQLMap、其他(Chopper、Miss Scan等)
所以到现在为止已经过去了大约一个月的时间。你已经成功成为“脚本小子”了。那么,你还想继续探索吗?
第二阶段:中级或高级网络安全工程师(视能力而定)
工资水平:15,000日元30,000日元
7.脚本编程学习(4周)
在网络安全领域。编程能力是“脚本小子”和真正的网络安全工程师之间的关键区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用的工具不能满足实际需求时,往往需要扩展现有工具或者可能需要创建工具或自动化脚本来满足要求。需要特定的编程技能。在分秒必争的CTF比赛中,需要具备一定的编程能力,才能有效地利用自制的脚本工具来实现各种目标。
如果您是从零开始的学生,我们建议选择脚本语言:Python/PHP/Go/Java 并学习编写常用库。
设置您的开发环境并选择您的IDE。 PHP 环境推荐Wamp 和XAMPP,IDE 强烈推荐Sublime。
学习Python编程,包括语法、正则、文件、网络、多线程等常用库。推荐《Python核心编程》,不需要全部看完。
使用Python 创建漏洞利用程序,然后创建一个简单的网络爬虫。
学习基本的PHP 语法并创建一个简单的博客系统
熟悉MVC 架构并尝试学习PHP 或Python 框架(可选)。
了解引导布局或CSS。
第三阶段:顶级网络安全工程师
如果您有兴趣开始网络安全,请点击此处。网络安全的主要优势:
分享学习资料
当然是【282G】网络安全工程师学习资料包,只给你方案,不给你学习资料。点击下面的二维码链接即可获取。
分享学习资料
当然是【282G】网络安全工程师学习资料包,只给你方案,不给你学习资料。点击下面的二维码链接即可获取。
#以上是关于网络安全的,2024年进入这个行业容易吗?相关内容来源网络仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92891.html