一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
29.软件漏洞网络攻击框架性工具是Metasploit
30.OWASP的十大安全威胁排名,第一位是注入式风险,第二位跨站脚本攻击,第三位无限的认证及会话管理功能,第十位是未经验证的重新指向及转发
31.提出软件安全开发生命周期SDL模型的公司是微软
32.代码混淆技术包括词法转换,控制流转换,数据转换。不属于代码混淆技术的是语法转换
33.漏洞转换三要素,漏洞是计算机系统本身存在的缺陷,漏洞的存在和利用都有一定的环境要求,漏洞存在的本身是没有危害的。漏洞在计算机系统中不可避免不属于漏洞定位三要素
34.堆的生长方向是向上,也就是向内存增加的方向。栈相反
35.操作系统所使用的缓冲区又被称为 堆栈 。不属于缓冲区溢出的是整数溢出
36.在信息安全事故响应中,必须采取的措施中包括 建立清晰的优先次序。清晰的指派工作和责任,对灾难进行归档。不包括保护物理资产。
37.系统开发分为五个阶段 ,规划,分析,设计,实现和运行。
38.任何系统都会经历一个发生,发展和消亡的过程
39.在信息安全管理中的控制策略实现后就应该对控制效果进行监控和衡量,从而来确定安全控制的有效性,并估计残留风险的准确性,整个安全控制是一个循环过程不会终止,并不能减少这方面的预算
40.并不是所有的组织都需要进行认证。认证可以建立信任度而已
41.涉密信息系统建设使用单位将保密级别分为三级,秘密,机密和绝密
42.基本安全要求中基本技术要求从五个方面提出,物理安全,网络安全,主机安全,应用安全,数据安全及备份恢复。没有路由安全
43.应急三要素是事件响应,灾难恢复,业务持续性计划。基本风险评估预防风险,而应急计划是当风险发生时采取的措施
47.电子签名是一种电子代码,利用他收件人可以在网上轻松验证发件人的身份和签名,它还能验证出文件的原文在传输过程中有无变动。公用事业服务信息无需进行验证
48.签署电子签名时电子签名制作数据仅有电子签名人控制
49.TCSEC将计算机系统的安全划分为四个等级七个级别
50.除了纵深防御这个核心思想外,IATF还提出了其他一些信息安全原则。LATF将信息系统和信息保障技术层面划分为四个技术框架焦点域,分别为保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施
51.计算机系统安全评估的第一个正式标准是TCSEC
52.数据加密又称密码学,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。
53.消息认证,数字签名和口令保护均属于哈希函数的应用
54.目前的认证技术有用对用户的认证和对消息的认证两种方式。数字签名,又称公钥数字签名,电子签章,是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领悟的技术实现,用于鉴别数字信息的方法,数字签名不能用于产生认证码
57.RADIUS是一个客户端/服务器端协议,它运行在应用层,使用UDP协议,它的审计独立于身份验证和授权服务,审计服务使用一个独立的UDP端口进行通讯,不能很好的提供完备的丢包处理及数据重传机制。
58.EBC模式是分组密码的基本工作模式。CBC模式的初始密码不需要保密,可以明文形式与密文一起传送
59.非对称加密算法又名为公开密钥加密算法,对称加密算法名为非公开密钥加密算法。非对称密钥加密算法复杂,在实际应用中不适合数据加密
60.SHA所产生的摘要比MD5长32位,耗时要更长,更加安全
61.TCP,ICMP,UDP均会被DoS攻击,IPSec无法被DoS攻击
62.文件系统是一种数据链表,用来描述磁盘上的信息结构,并支持磁盘文件的取出和写回,在安装系统之前总是会先将存储盘格式化成某种文件系统格式
63.Linux系统启动后运行的第一个进程是init,初始化进程,boot是在Linux启动之前运行的进程,sysini进程和login进程是后续部分的进程
64.可执行文件(exe)不属于Unix/Linux文件类型
65.在Windows系统中,查看当前已经启动的服务列表的命令是net start
66.SQL命令中,删除表的命令是DROP,删除记录的命令是delete,建立视图的命令是CREATE view,更新记录的命令是update
68.ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种是对内网PC的网关欺骗。路由器ARP欺骗的原理是截获网关数据,第二种ARP欺骗的原理是伪造网关。网站挂马,网站钓鱼,社会工程都属于诱骗式攻击
69.SSO,Kerberos,SESAME都属于分布式访问控制方法,RADIUS属于集中式
70.Internet安全协议(IPsec)是由互联网工程任务组提供的用于保障Internet安全通信的一系列规范。支持IPv4协议和IPv6协议
71.SSL协议为应用层提供了加密,身份认证和完整性验证的保护
72.网状信任模型,层次信任模型,桥证书认证机构信任模型都属于PKI信任模型。链状信任模型不属于PKI信任模型
73.特征检测又称误用检测,主要有五种方法,基于专家系统,模型推荐,状态转换,条件概率,键盘监控
74.木马不会刻意的去感染其他文件,不具备感染性
76.动态污点分析,模糊测试,智能模糊测试都属于软件动态安全检测技术。对源代码的检测,模型检验属于软件静态安全检测技术。词法分析是计算机科学中将字符序列转换为单词序列的过程
77.BitBlaze采用软件动静结合安全检测技术
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
