二，网络安全常用术语

9. 0day——使用量非常大的通用产品漏洞已经被发现了（还没有公开），官方还没有发布补丁或者修复方法的漏洞。
10. 1day——漏洞的POC和EXP已经被公开了，但是很多人还来不及修复，这个叫做1day漏洞。
11. Nday漏洞——指已经发布补丁的漏洞，并且时间已经过去很久的漏洞。
12. 漏扫——基于数据库对漏洞进行自动化扫描。
13. 补丁(patch)——漏洞的修复程序。
14. 渗透（penetration）——黑客入侵了网站或者计算机系统，获取到计算机权限的过程。
15. 渗透测试（penetration test)——用黑客入侵的方式对系统进行安全测试，目的是找出和修复安全漏洞，在这个过程中不会影响系统的正常运行，也不会破坏数据。
16. 木马（Trojan horse）——隐藏在计算机中的恶意程序。
17. 病毒（Virus）——恶意代码或程序。
18. 杀毒软件——瑞星，江民，金山，国外的诺顿，卡巴斯基，McAfee,360.
19. 免杀——绕过杀毒软件。
20. 肉鸡——已经被黑客获得控制权限的机器，可能是个人电脑也可以是企业或者政府单位的服务器 ，通常情况下因为使用者并不知道已经被入侵，所以黑客可以长期获得控制和权限。
21. 抓鸡——利用概率出现非常高的漏洞（例如LOG4J，永恒之蓝），使用自动化的方式获取肉鸡的行为。
22. 跳板机——黑客为了防止被追溯和识别身份，一般都不会用自己的电脑发起攻击，而是利用获取的肉鸡来攻击目标，这个肉鸡就充当一个跳板的角色。
23. DDos（Distributed Denial of Service）——分布式拒绝服务攻击，通过发起大量恶意请求，导致正常用户无法访问。
24. 后门（backdoor）——黑客为了对主机进行长期控制，在机器上种植的一段程序或留下的一个入口。
25. 中间人攻击（Man-in-the-Middle Attack）MITM攻击 ——运行中间服务器，拦截并篡改数据。
26. 网络钓鱼——钓鱼网站指的是冒充的网站，用来窃取用户的账号密码。
27. webshell——shell是一种命令执行工具，可以对计算机进行控制。webshell就是asp,php,jsp之外的外部代码文件，通过这些代码文件可以执行任意的命令，对计算机做任意的操作。分类——小马；一句话木马-godzilla\behinder\ant sword;大马。
28. **Getshell——**获得命令执行环境的操作。Redis的持久化功能，MySQL的写文件功能，MySQL的日志记录功能，上传功能，数据备份功能，编辑器。
29. 提权——权限提升（Privilege Escalation）普通用户权限，把自己升为管理员权限的操作就叫做提权。
30. 拿站（日站）——指得到一个网站的最高权限，即得到后台和管理员的名字和密码。
31. 拖库（脱裤）——指的是网站被入侵以后，黑客把全部的数据都导出，窃取到了全部文件。
32. 撞库——用获得的裤子去批量登录其他的网站。
33. 旁站入侵——入侵同服务器的其他网站。
34. 横向移动——攻击者入侵一台服务器以后，基于内部网络，继续入侵同网段其他机器。
35. **代理（Proxy）——**帮我们发起网络请求的一台服务器。
36. VPN(Virtual Private Network)——功能：代理；加密通信；办公—在家里连接到公司内网。
37. **蜜罐（Honeypot）——**吸引攻击者攻击的伪装系统，用来实现溯源和反制。
38. **沙箱（Sandbox）——**沙箱是一种按照安全策略限制程序行为的执行环境，就算有恶意代码，也只能影响到沙箱环境而不会影响到操作系统。
39. **靶场——**模拟有漏洞的环境，可以是容器，环境，操作系统。类型——web综合靶场—DVWA,pikachu,bwapp;——web专用靶场—sqli-labs,upload-labs,xss-labs;——漏洞复现靶场—比如CVE-44228;——操作系统靶场—比如Vulnhub靶场；——CTF靶场—专门用来练习CTF题目，每个人都有一个独立的环境。
40. 堡垒机（跳板机-jumpserver）——运维审计系统—管理资源，审批，审计，访问控制，事件记录。
41. WAF(Web Application Firewall)—Web应用防火墙——对HTTP/HTTPS的流量内容进行分析，拦截恶意攻击行为。
42. APT(Advanced Persistent Threat)——APT攻击：高级可持续威胁攻击，指某组织在网络上对特定对象展开的持续有效的攻击活动。例如：2021深信服APT攻防趋势半年洞察。
43. 护网（HVV）——国家组织牵头组织事业单位，国企单位，民企单位等开展攻防两方的网络安全演习。
44. CTF——(Capture The Flag 夺旗赛)：起源于1996年DEFCON全球黑客大会——以解出题目，获得Flag,就可以得分。它是一种黑客技术竞赛—形式为解题形式（Jeopardy）或者攻防形式（Attack-Defense）。反向有——Reverse, Pwn, Web, Crypto,Misc,Mobile。在线CTF有：——bugku:(首页 - Bugku CTF);——北京联合大学：BUUCTF在线评测；——CTFhub：CTFHub；——bmzCTF:温馨提示;——攻防世界：https://adworld.xctf.org.cn/challenges/list；——CTFSHOW:ctf.show;
45. CVE(Common Vulnerabilities and Exposures—通用漏洞披露)-由Mitre公司维护。——例如：CVE-2021-44228;——CVE Website
46. **CNVD——**国家信息安全漏洞共享平台：https://www.cnvd.org.cn/flaw/list?flag=true；国家计算机应急响应中心CNCERT维护：国家互联网应急中心；
47. 应急响应——一个公司为了应对各种安全事件所做的准备和事后采取的措施。
48. **SRC——**Security Response Center—企业的应急响应中心。例如：SRCs|安全应急响应中心 - 0xsafe
49. 公益SRC——漏洞盒子 - 中国领先的漏洞平台与白帽社区|安全众测与安全运营服务平台——教育漏洞报告平台(EDUSRC)")
50. 网络空间测绘—对网络空间资源收录——网络空间搜索引擎：——Shodan Search Engine——https://www.dynadot.com/market/user-listings/fofa.so——ZoomEye - Cyberspace Search Engine
51. ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge——对抗战术，技术和通用知识（攻击者战术的知识库）)由Mitre公司维护，并且提出了风险分析模型 ——收集威胁情报，模拟APT攻击。
52. 逆向（Reverse)——把程序还原为源代码，分析程序的运行过程。
53. **DevOPS(**Development + Operations )开发测试运维一体化
54. CICD——包括：持续集成（Continuous integration ）;持续交付（Continuous Delivery);持续部署（Continuous Deployment); 具体技术——Git代码管理，Jenkins版本管理，代码扫描，自动化测试。
55. DevSecOps-（Developmnet + Security + Operations ) ——安全开发与运维

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！