前言
很多小伙伴喜欢网络安全 , 或者认为黑客很帅 , 或者认为网络安全行业是未来很有前景的行业 , 总之各种理由 , 想学习网络安全但是不知道从合下手 。 王家楠就简单给大家总结一下
基础部分学习
- 基础部分包安全法律法规 , 因为这是安全行业这个是必须的 , 因为你要知道什么可以做 , 什么不可以做 。
- 计算机网络学习 OSI、TCP/IP 模型 , 网络协议 , 网络设备工作原理等内容 , 其它内容可以快速略过 。
- Linux命令 , 常用的命令就那么四十个 , 记住就行 , 其他的不会的时候在去搜索手册 。 因为初期不要把大部分时间用在熟悉所有命令上 , 因为你会厌学的这是人性 。
- 简单的语言学习 , 知道了解htmljs.phpjava的基本语法和他们是做什么用的就行 , 然后熟悉常用的前端和后端框架 。 还有服务器 , nginxtomocat等等
web安全基础知识学习
包括web安全的基础知识学习 , web安全的漏洞和防御 , 企业web安全防护策略 , 可以找一些视频看看 , 网上的学习资料有很多 , 可以看不懂 , 大致浏览一下 , 这个上面不用花费太多时间 。
web渗透
- 推荐靶场常见的靶场都可以上 github 平台搜索 , 推荐以下靶场 DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等 , 有些是综合靶场 , 有些是专门针对某款漏洞的靶场;
- 主要掌握一些平台的工具比如AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具 ssrs、hydra、medusa、airspoof 等 , 以上工具的练习完全可以利用上面的开源靶场去练习 , 足够了 。
- 练习差不多了 , 可以去 SRC 平台渗透真实的站点 , 看看是否有突破 , 如果涉及到需要绕过 WAF 的 , 需要针对绕 WAF 专门去学习 , 姿势也不是特别多 , 系统性学习学习 , 然后多总结经验 , 更上一层楼 。
- 【网络安全|网络安全自学路线规划建议,想转行的也可以看看】自动化渗透 , 建议学习一中脚本语言 , 推荐python大家一听说要学习语言都有点慌了 , 不是让你精通 , 写上个一百行左右的代码 , 多写就会了 。
代码审计
- 这个你可以不会 , 学到上面的时候你已近入行了 , 可以找工作了 。 代码审计代码审计顾名思义 , 审计别人网站或者系统的源代码 , 通过审计源代码或者代码环境的方式去审计系统是否存在漏洞(属于白盒测试范畴) 。
- 审计工具的学习如 seay 等 。
- 掌握常见的功能审计法AuditDemo 。
- 常见 CMS 框架审计 。
内网安全
内网的知识难度稍微偏大一些 , 这个和目前市面上的学习资料还有靶场有一定的关系;内网主要学习的内容主要有:内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT 等等 。
渗透拓展部分 , 和具体工作岗位联系也比较紧密 , 尽量要求掌握 , 主要有日志分析、安全加固、应急响应、等保测评等内容;其中重点掌握前三部分 , 这块的资料网络上也不多 , 也没有多少成型的书籍资料 , 可通过行业相关的技术群或者行业分享的资料去学习即可 , 能学到这一步 , 基本上已经算入门成功 , 学习日志分析、安全加固、应急响应三部分的知识也相对较为容易 。
- 荣光|小米逐渐变更路线,旗舰走中端旗舰的道路,结局只会两败俱伤
- 零基础|自学编程半年后ai应用上架开卖
- 网络安全|运营商竞合?多的是合作,少的是竞争
- 机械硬盘|机械硬盘真没人买 大厂裁员、清库存!东芝晒路线图:30TB新品上路
- 自学编程半年后AI应用上架开卖,他的学习心得分享火了
- 勒索病毒|网络安全运维流量攻击分析需要掌握的核心能力有什么
- 网络安全|骚扰电话害人不浅
- 网络安全|外卖平台以惊人速度发展壮大,不是靠的高科技,而是法律漏洞的红利
- 5G|企业的“网络安全焦虑”双子帮你打破
- 勒索软件|三大网络安全威胁持续频发