先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新Golang全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip1024b (备注go)
正文
攻击面管理以资产和漏洞的总体可见性为基础,需要“持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击向量。
国内华顺信安、长亭科技、魔方安全、华云安都在做攻击面管理产品,一直没有机会实际使用到产品。前段时间看到长亭推出了云图极速版攻击面管理工具,提供 SaaS 化的使用方式,专业版每个月 2000 块,体验版每个月只需要 5 块钱的价格,之前有活动,白嫖了一个月的专业版,于是直接体验了一下,简单说下使用体验吧!
02长亭云图使用步骤
所谓极速版,我理解是个 “青春版”,年轻人的第一个攻击面管理,在私有化部署的版本之上,裁剪了一些功能,提供给中小企业使用,满足 SaaS 化轻量级交付的需求。
长亭云图地址:https://rivers.chaitin.cn/landing/atlantis
界面比较小清新,首页是个展示统计数据的 Dashboard,根据长亭的定义,把数据分成了三类
- 「资产」:企业主体、备案过的主域名、子域名、IP 地址
- 「暴露面」:开放的端口、网站(其实就是 Web 服务)、Web 组件
- 「安全风险」:主要是漏洞
第一次打开的时候界面提示需要 “录入扫描对象的企业主体”,然后啥也不用做就自动开始扫描了,云图会根据企业主体自动查找相关的域名和 IP 信息。
从使用体验上来说,长亭师傅们的设计思路估计是想走极简风,只需要简单的操作就能立马用起来(实际上 “青春版” 也没有太多可以操作和配置的空间)。
在扫描任务里能看到云图实际把扫描分了 8 步
- 「采集主域名」:根据企业主体自动查找备案的域名
- 「采集子域名」:根据主域名使用各种方法去爆破子域名
- 「采集 IP 地址」:根据备案信息和域名信息去反差企业的公网 IP
- 「探测端口开放性」:针对采集到的 IP 地址做全端口扫描
- 「识别端口指纹」:针对开放的端口打指纹规则,识别端口上跑的服务和版本信息
- 「识别网站」:根据发现的 Web 端口跑一些 HTTP 协议特有的规则,比如爬虫什么的,用于采集网站的信息
- 「识别 Web 组件」:针对网站打 Web 指纹规则,识别 Web 组件和版本信息
- 「高危漏洞扫描」:就是扫漏洞
整个扫描过程大概持续了半小时,资产发现的还算比较全,最后发现了 34 个漏洞,其中有 4 个高危漏洞,没啥误报,就是有几个漏洞虽然 URL 不一样,但实际是重复的,长亭师傅们赶紧来修 Bug 了。
贴一个漏洞详情的截图给大家看看细节。
03使用体验
总体来说使用体验还不错,上手没什么成本,最后还扫到一些漏洞。
本来想体验一下企业版,不过企业版价格作者钱包撑不住了,但从介绍材料来看,企业版和 “青春版” 的主要区别在于:
- 企业版发现资产的方式更多,可以通过网站图标、网页标题、证书内容等信息作为检索依据,自动查找域名和IP资产。
- 支持私有化部署,对关注数据隐私的企业更友好,也可以用来扫内网资产
- 安全风险除了漏洞还可以扫描代码泄露、网盘文件泄露、文库泄露这些
总结
对企业来说,管理漏洞只是安全部日常工作中很小的一环,人力精贵,动辄扫出成败上千个漏洞的工具用起来十分头疼,要花大量时间处理误报,推到研发整改到成本也很高,即使不是误报也需要去判断漏洞是否是互联网可利用的。攻击面管理很好的解决了这个问题,做好分类分级,优先解决互联网可见的公开漏洞非常重要。
相较于传统漏扫而言,攻击面管理的准确性更高,输出的安全风险基本都是 “真实可利用” 的漏洞。
云图 “青春版” 比起传统漏扫,对关注真实安全结果的中小企业要友好的多,省下了要周期性做漏扫的精力,省下了要识别误报的精力,2000 一个月的价格对企业来说都是小钱。
现实中,大部分中小企业只关注合规安全,甚至没有专职的安全工程师,云图 “青春版” 对这些企业来说不一定是最好的选择。
`黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
4b (备注Go)**
[外链图片转存中…(img-Bv73mIVg-1713545602778)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
348
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
