一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Kali入门
一、Kali系统的安装与配置
往往Kali在第一次安装的时候,初学者就会遇到各种问题,摸不着头脑的时候可以按照Kali的安装教程来一步步实现操作。
建议
遇到问题先自己想办法解决,这些都是linux使用、配置的基础,相关的技巧和知识点以后都会有用。
注意
很多人觉得kali安装好就可以开始下一步学习了,这里就少了个重要的步骤:kali的配置。只有配置好的Kali才能更方便使用。
二、Kali的安全工具
kali本身只是一个操作系统,只不过是预装了很多安全工具。
所以,真正要学习的不是kali,而是里面预装的安全工具。
Kali经典工具:MSF(Metasploit)
只需要学会一些简单的语句,你就能使用MSF常见的六大版块、成百上千的攻击脚本。
其中包含:
前期踩点
权限维持
攻击利用
内网渗透
免杀等
其他建议学习的工具
Nmap
Hydra
Sqlmap
CS
Nc
websocket-fuzzer
Aircrack
juice-shop
工具学习并没有那么难,每个预装工具都有全面的安装、配置、使用教程。
关键问题在于读懂工具到底在干嘛? 每个命令的含义又是什么?
例如:
Sqlmap是一款利用注入漏洞的工具,参数包括
r
u
level
risk
flush-session
dbs
dump-all
os-shell等等
教程会说:
使用-u指定存在注入漏洞的连接,这样SQLMAP就会自动去利用漏洞。
你会一头雾水,什么是注入漏洞?
教程会说:
如果目标漏洞的权限够高,使用os-shell可以直接得到一个sql-shell
你会一头雾水,成功了还是没成功? 我该输入什么?
三、正确的学习路线:原理和工具同时学习
第一阶段:初步接触
初步接触先了解常见的攻击方法和工具的使用。
例如
Sql注入的原理
漏洞存在的探测方法
以及Sql注入神器SQLmap的各种指令以及指定对应的意义
了解这些知识之后,再进行实践。
Sqlmap常用的命令30条左右,其他很多命令一般很少用到,因此,不要看到铺天盖地的命令就傻眼了。
阶段二:初步入门
工具并的使用并不难,我们要理解的是工具背后的原理。
只会使用工具的“脚本小子”太容易被人取代。而且,技术瓶颈特别明显。
系统学习“Kali”才是王道,尽管kali里面有很多实用工具,但是了解和学习的是渗透原理、技术是非常必要的。
Web渗透础学习路线
第一步
Web前后端基础和一些计算机常识的了解
对应Kali系统的安装与配置
(前后端编程(H5 JS PHP SQL) 基础网络概念等)
第二步
了解当下主流漏洞的原理与利用
对应学习SQLMAP、Nmap、Beef工具
此时才应该是SQL、XSS、CSRF、逻辑漏洞、文件上传等主流漏洞的原理与利用学习。
第三步
当下主流漏洞的挖掘与审计复现
对应MSF
学习一些审计中会遇到的漏洞,例如:
变量覆盖
文件包含
反序列化
学习前人所挖0day的思路,并且复现,尝试相同审计
第四步
进阶方向
根据工具编写脚本或编写属于自己的工具
前三步完成,就有了渗透测试的代码审计能力和黑盒测试能力
加上Kali内置工具等于如虎添翼,基本上已经是拥有独立挖掘漏洞的能力。
进阶的方向是挖掘更复杂的漏洞和加快渗透速度
再进一步就是,学习一门写工具的语言,例如:
Python
Golang
打造自己专属的独一无二的渗透测试工具。魔改原有工具的功能,为一些常用的渗透测试工具写插件:
Burp
MSF攻击模块
油猴脚本等
更复杂的漏洞
深入挖掘代码
学习多种编程代码语言
分析代码的函数底层代码
例如:
PHP的底层是C语言开发,其实可以看看这个这个PHP的底层C是怎么运行的,然后还可以尝试接触汇编、二进制。
常见的学习方法:
体系化教程学习,更快速掌握
实战靶,渗透测试SRC拿实战练手
参加CTF,护网等网络安全比赛,锻炼动手能力,培养渗透思路
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!