一、怎样规划网络安全
如果您是安全行业的新手,我们建议您从网络安全或网络安全/渗透测试开始。
1、市场需求量大
二是开发比较成熟,容易上手。
请记住,如果你想学习网络安全,你应该先学习网络,然后学习安全,如果你想学习Web安全,你应该先学习Web,然后学习安全。
安全并不是孤立存在的,它是建立在其他技术之上的上层应用技术。没有这个基础,很容易陷入理论,“我知道发生了什么,但我不知道为什么”的情况,从而很难在安全的职业道路上前进。
如果你原本从事网络工程运维工作,不妨选择从网络安全入手。
如果您原本从事程序开发,我们建议您选择网络安全/渗透测试来开始。
当然,学习到一定程度或者获得一定的工作经验后,不同方向的技术结合力会越来越高,需要对每个方向都了解一点。
需要学习的一般技能:
二、网络安全的知识多而杂,怎么科学合理安排?
1、基础阶段
《中华人民共和国网络安全法》(含18个知识点) Linux操作系统(含16个知识点) 计算机网络(含12个知识点) SHELL(含14个知识点) HTML/CSS(含44个知识点)(含知识点分) JavaScript(含41个知识点) PHP入门(含12个知识点) MySQL数据库(含30个知识点) Python(含18个知识点)
入门的第一步是系统学习计算机基础知识。这意味着学习操作系统、协议/网络、数据库、开发语言、常见漏洞原理等基础知识模块。
学习了到目前为止的基础知识后,是时候将其付诸实践了。
由于互联网和计算机化的普及,网站系统往往需要外部工作,程序员的水平和运维人员的构成各不相同,需要学习的内容很多。
2、渗透阶段
SQL注入入侵与防御(36XSS相关入侵与防御(包含12个知识点) 上传验证入侵与防御(包含16个知识点) 文件包含入侵与防御(包含12个知识点) CSRF入侵与防御防御(包含7个知识点) ) SSRF 入侵与防御(包含6 个知识点) XXE 入侵与防御(包含5 个知识点) 远程代码执行入侵与防御(包含7 个知识点)
掌握常见漏洞原理、用途和防御。即使在网络普及阶段,你也需要学习一些必要的工具。
需要掌握的关键工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、Hydra、medusa、airspoof等。上述工具可以使用上面提到的开源射击场进行练习。这就够了。
3、安全管理(提升)
渗透报告(含21个知识点) 等级防护2.0(含50个知识点) 应急响应(含5个知识点) 代码审计(含8个知识点) 风险评估(含11个知识点) 安全检查(数据安全(含12个知识点)点)(包含25个知识点)
主要包括渗透报告制作、网络安全等级防护分级、应急响应、代码审计、风险评估、安全检查、数据安全、法律编制等。
此阶段主要针对已经从事网络安全工作并需要晋升到管理职位的个人。如果您只是为了找到工程师的工作而学习,那么您可能会也可能不会在这个阶段学习。
4、提升阶段(提升)
密码学(包含34个知识点) JavaSE入门(包含92个知识点) C语言(包含140个知识点) C++语言(包含181个知识点) Windows逆向工程(包含46个知识点) CTF夺旗大赛(包含36个知识点)知识点)Android逆向工程(包含40个知识点)
主要包括密码学、JavaSE、C语言、C++、Windows逆向工程、CTF夺旗大赛、Android逆向工程等。
它主要面向已经从事网络安全工作并需要提高高级安全架构知识的人员。
三、网络安全学习路线
如果你确实想自学网络安全,我们建议你查看下面的学习路线图,其中详细介绍了学习每个知识点需要多长时间以及如何学习。总自学时间约为。半年了,个人测试有效(文末有惊喜):
1、Web安全相关概念(2周)
熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。
Google/SecWiki 按关键字(SQL 注入、上传、XSS、CSRF、一句话木马等)。
读取《精通脚本黑客》 很旧并且有错误,但您仍然可以开始。
请观看一些入侵笔记/视频以了解实际入侵的整个过程。谷歌一下(入侵笔记、入侵过程、入侵过程等)。
2、熟悉渗透相关工具(3周)
熟练使用AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具。
要了解此类工具的用途和使用场景,请从软件名称Google/SecWiki 开始。
下载并安装这些软件的非后门版本。
在SecWiki 上查找并使用特定的教育材料,例如Brup 教程和sqlmap。
学习完这些常用软件后,您就可以安装Sonic Startup来创建您的入侵工具箱了。
3、渗透实战操作(5周)
您将掌握入侵的所有阶段,并能够独立入侵小型站点。
网上搜索入侵视频,思考入侵、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等思路和原理及关键词。
别忘了找到你的站点,搭建一个测试环境进行测试,把自己隐藏起来。
渗透的思路主要分为几个阶段,下面是每个阶段需要做的事情。 PTES 渗透测试执行标准。
了解SQL注入类型、注入原理和手动注入技术。
学习文件上传原理、如何执行截断、双后缀欺骗(IIS、PHP)、漏洞利用分析(IIS、Nignix、Apache)等。请参考以下内容。上传攻击框架。
XSS形成原理和类型请参考Google/SecWiki。
Windows/Linux提权方法及具体使用信息请参见:
请参阅: 开源渗透测试易受攻击的系统。
4、关注安全圈动态(1周)
及时了解Security Circle 的最新漏洞、安全事件和技术文章。
通过SecWiki 浏览每日安全技术文章和事件。
通过微博/Twitter 关注安全圈从业者(如果他们引起了大影响者的注意,或者如果您的朋友坚定地关注他们),并每天花时间查看。
请通过feedly/先果订阅国内外安全技术博客(不限于国内,更注重积累)。如果您没有订阅源,请查看SecWiki 上的聚合栏。
养成每天主动向SecWiki 提交安全技术文章链接的习惯。
请注意最新的漏洞列表。推荐exploit-db、CVE中文库、乌云等。如果您发现公开的漏洞,请进行练习。
如果您对国内和国际安全会议的主题和视频感兴趣,我们推荐SecWiki-Conference。
5、熟悉Windows/Kali Linux(3周)
学习基本的Windows/Kali Linux 命令和常用工具。
熟悉Windows上常见的cmd命令(ipconfig、nslookup、tracert、net、tasklist、taskkill等)。
熟悉Linux上的常用命令(ifconfig、ls、cp、mv、vi、wget、service、sudo等)。
如果您熟悉Kali Linux 系统上的常用工具,请参阅SecWiki、《Web Penetration Testing with Kali Linux》、《Hacking with Kali》 等。
如果您熟悉metasploit 工具,请参阅SecWiki,《Metasploit渗透测试指南》。
6、服务器安全配置(3周)
了解如何配置服务器环境并运用您的思维来发现配置中的安全问题。
在Windows 2003/2008环境中配置IIS时,要特别注意安全配置和执行权限。 SecWiki-配置;
Linux环境下LAMP的安全配置主要考虑执行权限、跨目录权限、文件夹权限等。请参考以下内容。
强化远程系统,限制使用用户名和密码登录,并使用iptables 限制端口。
配置软件Waf增强系统安全性,在服务器上配置mod_security等系统。请参阅SecWiki-ModSecurity。
使用Nessus 软件对您的配置环境执行安全检查并发现未知的安全威胁。
7、脚本编程学习(4周)
选择脚本语言:Perl/Python/PHP/Go/Java 并学习对常用库进行编程。
设置您的开发环境并选择您的IDE。强烈建议在PHP 环境中使用Sublime。 SecWiki-Sublime。
学习Python编程,包括:语法、规律、文件、网络、多线程等常用库。推荐《Python核心编程》。不要读完。
使用Python 创建漏洞利用程序,然后创建一个简单的网络爬虫。请参阅SecWiki 爬虫视频。
学习PHP 的基本语法并创建一个简单的博客系统。请参阅《PHP与MySQL程序设计(第4版)》 和视频。
熟悉MVC 架构并学习PHP 或Python 框架(可选)。
要了解Bootstrap 布局或CSS,请参阅SecWiki-Bootstrap;
8、源码审计与漏洞分析(3周)
您可以独立分析脚本源代码程序并发现安全问题。
熟悉源代码审计的动态和静态方法,并了解如何分析程序(参见SecWiki-Audit)。
查找乌云开源程序中的漏洞并自行分析。
了解网络漏洞产生的原因,通过关键词进行搜索分析。请参阅SecWiki-代码审计,高级PHP应用程序漏洞审计技术。
我们从源代码层面审视Web漏洞的形成原理以及如何避免它们,并将其整理成清单。
9、安全体系设计与开发(5周)
您将能够建立自己的安全系统并提出安全建议和系统架构。
开发一些实用的安全小工具并将其开源以体现您的个人优势。
建立自己的安全体系,对公司的安全有自己的理解和看法。
提出或参与大型安全系统的架构或开发。
关注自己的成长~
四、补全知识框架(学习内容)
一旦你组织好了你的知识框架并知道你想如何学习,下一步就是将内容嵌入到该框架中。
目前有很多选择,包括CSDN、知乎、哔哩哔哩等。有很多人分享自己的学习资料,但我认为分享的一些教程不一致、不完整、存在重大问题。免费的内容碎片化,前言与字幕不符,让你学习时一头雾水。 这是我自学后的个人体会。
全阶段学习路线
点赞、收藏、关注、在评论区留言“我关注你了。请求”或者直接点击扫描二维码获取!可以分享给大家哦!
我对朋友们的建议是,自学网络安全没有捷径。相比之下,系统化的网络安全是最具成本效益的方法,因为它可以节省大量的时间和精力成本。等等,既然你已经走在这条路上了,即使未来看起来很艰难,只要你咬紧牙关,坚持下去,最终一定会得到你想要的结果。
点赞、收藏、关注、在评论区留言“我关注你了。请求”或者直接点击扫描二维码获取!可以分享给大家哦!
五、网络安全前景
人才需求旺盛,市场空缺巨大。物联网应用的激增和5G的普及将增加对网络安全职位的需求。
从长远来看,网络安全将日益普及,智能化领域的兴起必然带动网络安全新技术的发展。
未来网络安全的三个主要发展方向:
网络安全(安全及其他保障)
云原生安全
AI人工智能在网络安全中的应用(ChatGPT)
巨大的发展空间:
在公司内部,网络工程师基本上处于地位高、薪酬高的“双高”职位。就业机会广泛,一专多能,工作经验可应用于各个领域。
巨大的增值潜力:
掌握公司的核心网络架构和安全技术可以提供宝贵的竞争优势。随着您经验的增加和项目管理的成熟,您的职业价值就可以得到评估。
职业生涯长:
网络工程师的工作重点是构建和维护公司信息,包括技术和管理任务,并且凭借持续的项目经验和对行业背景的深入了解,这项工作是相对稳定的。随着年龄的增长,他变得越来越受欢迎。
六、特别声明:
本教程纯属技术分享。本教程无意为恶意方提供技术支持。我们还排除因滥用技术而产生的连带责任。本教程的目的是帮助大家最大限度地关注网络安全,并采取相应的安全措施,减少因网络安全造成的经济损失。
#以上2024年初学者应自读的网络安全(黑客)相关内容来自网络,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93327.html
