关于我
我是一名刚刚进入这个行业的新保安人员。为什么要加引号?因为我来自“半野生”背景。 2013 年,作为一名中学生,我正在研究和报告90sec 和wooyun 等社区的漏洞。之后,由于升学的压力,我逐渐远离了安全圈,没有继续学习技术。
因此,在高考选择专业时,由于分数线的限制,我只能选择信息工程。
大学四年级时,我被骗到一家电子厂工作,但我无法忍受在流水线上工作,所以我一气之下接受了这份工作。当前途黯淡的时候,我一天晚上醒来自学网络安全,开始了我的网络安全开发之旅。毕业已经过去很多年了,但我一直坚持在这条爱情路上。我很高兴也很满足。我很感激。
接下来我就给大家讲一下我是如何进入网络安全并成为一名保安的。
网络安全学习路线
(1)基础部分
在基础知识上,您需要学习:
其实我看的书很系统,对于初学者来说,可以掌握这个领域的基本内容,但当然可能不是很及时。我们建议您自己决定要读哪些书。不要听别人说的。很多人肯定会要求你学习操作系统原理、算法等。这实际上是违反学习规则的,无论你想学什么。请寻找合适的书。下面是我当时正在读的一些书。
(1.1)计算机及系统原理
《编码:隐匿在计算机软硬件背后的语言》 [美国] 查尔斯·佩措尔德
《深入理解计算机系统》 [美国] 兰德尔·E·布莱恩特
《深入解析Windows操作系统》 [美国] Russinovich,M.E.所罗门,D.A.
《深入理解Android内核设计思想》 林幸森
《Android系统源代码情景分析》 罗盛阳
(1.2)计算机网络 :
重点学习OSI、TCP/IP 模型、网络协议、网络设备的工作原理,并快速浏览其他内容。
(1.3)Linux 系统及命令 :
目前市场上的Web服务器都运行在Linux系统上,所以如果你想学习如何侵入Web系统,你至少应该熟悉Linux系统并学习常用的操作命令。本书《深入理解Linux内核》 [美] DanielP.Bovet·《Linux内核设计与实现》 [美] Robert Love·
学习秘诀:学会10%的常用命令,适用90%的工作场景。掌握日常使用的10%的基本功能。如果您有任何疑问,请访问度娘。 Linux常用命令只有50到60条,很多初学者都急于记住它们。这种学习方法也是错误的。
(1.4)Web 框架 :
熟悉Web框架内容,重点学习前端HTML、JS等脚本语言,不需要学习任何语言就能遵循开发思维。当然,您可以编写最好的代码,但这不是开发。重要的事情说三遍。
(1.5)数据库:
需要学习SQL语法,需要了解SQL的高级语法才能学习相应的数据库语法。时间不够不会影响你后续的学习。毕竟你不是数据库分析师,没必要研究得太深。
(2)学习一门编程语言
代码也是黑客网络安全工程师的武器。如果你想成为一名黑客或者网络安全工程师,你首先必须学习黑客所需的编程语言。
对于没有编码经验的新人来说,安全行业从业者可以学习磨练编程技能的三种最佳语言是:
外壳脚本
您将掌握常见的Linux 命令,编写简单的shell 脚本,并能够处理一些简单的事务。
C语言(C++可选)
C语言没有复杂的特性,是现代编程语言的始祖,适合编写底层软件,也有助于理解内存、算法、操作系统等计算机知识。马苏。
Python
C语言帮助你理解最底层。如果您还不了解计算机语言,我们建议从Python 开始。它具有清晰的设计和完整的文档,适合初学者。对于初学者来说,这是一门很棒的语言,但它不仅仅是一个玩具。非常强大且灵活,适合大型项目。
(3)学习网络安全法
随着《国家网络空间安全战略》、《网络安全法》、《网络安全等级保护3.0》等一系列政策/法规/标准的不断实施,网络安全产业将在与人工智能并驾齐驱的同时,逐步从小众产业转变为国家战略新兴产业现已发展成为。大数据、云计算等领域。
对于大多数政府机构和企业部门来说,网络安全已经从可选选项变成了必需选项,再变成了强大的选项。不理解和实施安全就等同于违法。
我认为工程师需要了解和学习黑客的知识。只有这样,您才能在日常工作中应对安全风险,以高度的安全意识完成您的编程和运维任务。掌握黑客原理和技术。当你遇到攻击时,你不只是防守防守,而是抓住敌人并扭转他的局面。
技术本身并不是邪恶的,只有滥用技术才会导致邪恶。
(4)安全初体验
在前三个步骤的基础上,您将学习一些网络安全技术。在这个阶段的开始,你不必将你的学习限制在任何特定方向的技术上。此时我的建议是了解过去。
接触网络协议攻击、Web服务攻击、浏览器安全、漏洞攻击、逆向破解和工具开发,一路发现自己的兴趣,熟悉网络安全的不同领域。对技术有初步的了解。 Web 入侵工具的常见用途包括:
HTML、CSS 和JavaScript 简介
OWASP前10名
Web漏洞扫描工具
Web入侵工具:Nmap、BurpSuite、SQLMap、其他(Chop Knife、Miss Scan等)
根据上面列出的网络安全技能,网络安全需要学习外围管理能力、钓鱼远程控制能力、域入侵能力、流量分析能力、漏洞挖掘等常用技能,很容易理解。功能、代码审计功能等。
[—-免费获取以下所有学习资料,了解互联网安全。 ]
网络安全学习与成长路径思维导图
60余款经典网络安全工具包
100+SRC漏洞分析报告
150多本实用网络安全攻防技术电子书
最权威的CISSP认证考试指南+题集
超过1800页的CTF实用技巧手册
各大网络安全公司最新面试题(含答案)
APP客户端安全检测指南(Android+IOS)
03网络安全的知识多而杂,怎么科学合理安排?
一、基础阶段
中华人民共和国网络安全法(含18个知识点)
Linux操作系统(包含16个知识点)
计算机网络(包含12个知识点)
SHELL(包含14个知识点)
HTML/CSS(包含44个知识点)
JavaScript(包含41个知识点)
PHP入门(包含12个知识点)
MySQL数据库(包含30个知识点)
Python(包含18个知识点)
————————————————
入门的第一步是系统学习计算机基础知识。这意味着学习操作系统、协议/网络、数据库、开发语言、常见漏洞原理等基础知识模块。学习了到目前为止的基础知识后,是时候将其付诸实践了。
由于互联网和计算机化的普及,网站系统需要大量的外部工作,程序员的水平和运维人员的构成各不相同,需要学习的东西也很多。
二、渗透阶段
SQL注入入侵与防范(含36个知识点)
XSS相关入侵与防范(含12个知识点)
上传验证渗透与防御(含16个知识点)
|本文档包含入侵与防御(包含12个知识点)
CSRF入侵与防御(含7个知识点)
SSRF入侵与防御(包含6个知识点)
XXE渗透与防御(包含5个知识点)
远程代码执行入侵及防范(包含7个知识点)
…(包含…的知识点)
————————————————
掌握常见漏洞原理、用途和防御。即使在网络普及阶段,你也需要学习一些必要的工具。
需要掌握的关键工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、Hydra、medusa、airspoof等。上述工具可以使用上面提到的开源射击场进行练习。这就够了。
三、安全管理(提升)
创建入侵报告(包含21个知识点)
等级保护2.0(包含50个知识点)
应急响应(含5条知识)
代码审计(包含8个知识点)
风险评估(包含11个知识点)
安全检查(含12知识)
数据安全(包含25个知识点)
————————————————
主要包括渗透报告制作、网络安全等级防护分级、应急响应、代码审计、风险评估、安全检查、数据安全、法律编制等。
此阶段主要针对已经从事网络安全工作并需要晋升到管理职位的个人。如果您学习只是为了找到工程师的工作,那么您可能会也可能不会在这个阶段学习。
四、提升阶段(提升)
密码学(包含34个知识点)
JavaSE入门(包含92个知识点)
C语言(含140个知识点)
C++语言(含181个知识)
Windows逆向工程(含46个知识点)
CTF夺旗赛(包含36个知识点)
Android逆向工程(含40个知识点)
————————————————
主要包括密码学、JavaSE、C语言、C++、Windows逆向工程、CTF夺旗大赛、Android逆向工程等。
它主要面向已经从事网络安全工作并需要提高高级安全架构知识的人员。
[—-免费获取以下所有学习资料,了解互联网安全。 ]
网络安全学习与成长路径思维导图
60余款经典网络安全工具包
100+SRC漏洞分析报告
150多本实用网络安全攻防技术电子书
最权威的CISSP认证考试指南+题集
超过1800页的CTF实用技巧手册
各大网络安全公司最新面试题(含答案)
APP客户端安全检测指南(Android+IOS)
结语
我对朋友们的建议是,自学网络安全没有捷径。相比之下,系统化的网络安全是最具成本效益的方法,因为它可以节省大量的时间和精力成本。我对自学者的建议是,既然你已经走了这条路,即使未来看起来很困难,如果你咬紧牙关,坚持下去,你最终会得到你想要的结果。
上述#NetworkSecurity 的介绍性教程(非常详细)涵盖了掌握的基本介绍。读完本文,您将成为网络安全高手。相关内容来源网络仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93932.html
