如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
秋招一般是在7-8月开启,9-10月结束,当然不排除个别公司6月甚至更早开启,比如某些互联网大厂,春招一般2-3月开启,5月前后结束本人主要是搞网络的,所以只谈网络方面的东西,目前网络行业细分有网络通信,网络安全,云计算,大数据,物联网这几个大方向(欢迎补充);个人认为最有前景的公司类型排序:厂商=特大甲方>集成商>代理商>中小甲方;另外投递的方式:内推>官网/公众号/官博>线下招聘会/各类人才网/boss直拒,失联招聘,前程堪忧等招聘软件
补充:内推渠道很很多,有同校学长学姐,和公司合作的老师教授,公众号,微博,知乎,牛客网,脉脉,csdn/博客园等技术论坛;我目前投了15家公司,14家是内推的
准备参加校招之前,首先要准备好你的简历(怎么写可以查知乎,不要弄假但是要会包装,我使用的是超级简历这个自动制作简历的网页,没有收它广告费😑),因为是校招,所以咱们这方面的核心竞争力一般是:学历,证书(这行比较有用的:驾照(可能要经常出差),CET-4(某些大公司的必要条件,重要性不需要多说),RHCE,CISP,HCIP,CCNP等厂商认证;证书一定要在大四之前就拿到,不然就错过秋招了),实习经历(最好和岗位相关),校园经历(最好能体现出与岗位相关的优势),另外最重要的是掌握的技能,证书啥的只是为你打开了门,能不能进去还要看个人能力。
在收到面试通知之后,一定要去查这个公司的相关内容,大概率会问到你对我们公司有什么了解,查阅可以去公司官网,百度等各种百科,如果是上市公司可以去支付宝股票里找公司研报,研报讲的东西都是比较有用的(还能查到营收构成,财务盈亏等很细致的东西,本人力荐!)
下面是具体的面经
1.奇安信(360是它的前身,安全龙头厂商 ):技术支持工程师(offer)
奇安信的提前批在7月份就开启了,但是真正通知是8月中旬,我参与的是提前批。
笔试:数通+安全+linux+存储 (20单选+2简答)
难度:🌟🌟
一面是综合面,主要是问你擅长的领域,可以不广,但是要精,我讲的是ospf和isis,ospf我是很早就准备了这个的复述,从概念,原理,过程,到各种类型的lsa功能,区别等等;具体我是按照数字顺序讲的,从:ospf的两个版本,三个状态,支持的四种网络,四种特殊网络,涉及到的四张表,五种报文,六种常用lsa,七种状态机,总共11种lsa都简单介绍了以下。(这种数字模版大家可以参考下,我是知乎上找的,效果我觉得还行,会让面试官感觉你逻辑清楚,有认真准备的感觉);后面问了一些其他的东西,比如你对我们公司有什么了解
二面也是综合面,这次的技术面是它提问,不再是讲你擅长的领域,主要是从你简历里问还有一部分简历外的,首先是问了安全,但是它提问的东西我有点不了解,所以我主动提出讲ddos的东西,面试官同意了,然后我就从ip欺骗,arp欺骗,死亡ping,syn洪水,dhcp攻击还有这些攻击的防御讲(这边我个人认为还是有点技巧,面试遇到不会的不要傻傻的说不会,最好引导到自己擅长的地方),后面又问到了ospf(题外话,我看了蛮多的面经,经常出现ospf,所以这个还是很重要的一个协议),邻居建立失败的原因,卡在某个状态机的原因,1-5+7类lsa的应用场景,作用,区别;然后问到了BGP协议,他问了个什么编号的作用,我没有理解他说的就讲我知道的AS号的作用,并且结合router id的作用来猜测这个东西的作用(后面的查了下bgp的编号好像也没有查到啥编号,好像就是as号);最后就问hr的东西,又问到了你对我们公司有什么了解,另外就是场景题(临近交付的时候出现故障怎么办)
三面是hr面,这个可以查知乎,全部岗位都类似,就问有没有女朋友啥的(稳定性),爱好(我个人理解可最好说跟团队合作相关的,比如篮球),玩不玩游戏(我感觉也是最好说一些团队有关的,比如lol,或者思维类的解谜策略游戏),反正就聊天,听说到hr面一般都不会挂,我也不清楚是不是真的,不过我问hr的时候他说我应该能通过没啥问题(算是一个定心丸吧,还挺开心的,居然第一次面试这么顺利)
面试难度:🌟🌟✨
2.深信服(网络安全龙头厂商):技术支持/客户服务经理(签约)
笔试难度:🌟🌟🌟🌟
深信服好像技术支持没有提前批,挂了就可以继续投(我第一次笔试挂了- -,二投在比较晚的时候,一定是特别的缘分签了我服,这也是我唯一的二投公司)
第一次笔试:8题不定项+14题简答,包含的内容有数通+linux+安全+存储+云计算(面试这家一定要懂点☁)。我还有印象的有存储类型的区别,tcp过程,udp/tcp区别,RAID,ospf虚链接,bgp团体属性,linux的命令+关键字,主流虚拟化技术(微软的hyper-v,vmware的esx,开源的kvm和xen),虚拟化分类,iptable的各种链表等等
第二次笔试:全部单选,但是难度在我笔试所有家中算高的
一面技术+综合:当时印象里略难,内容忘了
二面技术+综合:问了一点技术问题就和面试官开始唠嗑了- -(主要探讨对这个岗位的沟通能力和技术能力的关系,因为之前有面过友商的类似岗位,也浅谈过这个,这里主要就深入聊一些相关看法,后面唠到了市场,研发,技服三者之间的联系)
三面hr面(线下):主要问的家庭情况,解决问题的做法,对我司了解程度,唠的比较多的是校园经历(hr面还是有一些压力测试的)
面试难度:🌟🌟🌟🌟
3.字节跳动:it技术支持工程师(主要是服务公司内部)
笔试难度:🌟🌟🌟
笔试分成四个模块,单选,多选和选做的简答题和编程题
单选:基本无难度,非常基础的东西,或者考逻辑和常识的题目
多选:有一定难度,涉及到的东西有linux,http,编程,计算机网络
简答:我选择了的是网址的通信过程,难度一般
编程题:(题目一语言只有java和python,题目二写访问目的web的脚本,题目三是linux的编程题)
一面综合+技术:社团经历,部门经历,创业经历(主要),技术问题:tcp和udp区别,网络攻击的几种方式,防御等
二面综合+技术:家庭情况,做过最有成就感的事,最失败的事,如何处理的,如何调节关系等
4.绿盟(网络安全黄埔军校):产品技术支持
无笔试,内推直接进入一面
一面是侧重技术的综合面,一共面试了8!0!分!钟!问的内容感觉结合了所有类型的面试,从经历,实习,技术,综合等方面都问回来了,面试官很逗比,带着一点川腔,听起来略有点吃力,话不多说,进入正题。
首先问的是校园经历,实习经历,遇到的困难,如何解决。我巴拉巴拉很久介绍了我的大学创业经历,不多介绍;之后进入技术面,首先问了基础的tcp三次握手,四次挥手,ftp的两种模式,之后问了ospf的东西,涉及的知识点有:lsdb表的作用,过程涉及到的各种状态机的变化,卡在状态机的原因,ospf和isis选举的差别,isis状态机,bgp状态机,bgp报文,bgp邻居建立,bgp同步出错的问题,解决办法,bgp选路的规则(选问),信息传递规则;静态动态路由区别,默认路由的应用,http过程,http版本,https;
之后进入安全的问题:web攻防,sql注入的几种方式,XSS攻击的几种方式,CSRF的攻击原理,OS命令注入的原理,DDOS攻击:纠正了我对ddos的一些理解,syn洪水,dhcp攻击属于ddos,arp欺骗,icmp攻击,ip欺骗不属;之后问到操作系统,直接问的命令,grep netstat vi/vim ls cp ,知道就继续问关键字直到不知道为之,牛逼。之后问了虚拟化的东西,常见虚拟化技术,架构,差别。
技术问完了,问hr的东西,我在哪,又问我有没有女朋友(我那么像有女朋友的人吗哈哈哈哈哈C),职业规划,期望薪资,还有家庭情况啥的。
整体除了linux部分命令没答出来,其他的还好,问了面试官我面试的问题,逻辑可能有待加强,说了很多东西但是重要的不多;所以各位,逻辑太重要了,没事的时候自己练练语言组织啥的
二面:hr面
主要是在问实习的东西,实习的收获,对岗位的理解;另外还问到了还有一些压力测试,比如遇到极端客户怎么办,如何解决,如何调节自己的心态。结束时问了hr我的面试问题,虽然她说没啥问题而且当天我也是自我感觉良好;但是现在回想起来问题还是蛮多的,因为收到了奇安信的意向书并且调查过绿盟的待遇,当时是有点膨胀了,智商情商双双不在线,主动讲到了不该在二面出现的薪资问题(吸取教训🙃),而且在压力情景答的不是很好,逻辑有待提高,并且表达有点问题;另外就是答着答着我给面试官引导到了我不会的地方(自己给自己挖坑了- -)
5.启明星辰(传统网络安全龙头厂商):售后(因为当时我服逼签了,提前谈薪资,但是没谈拢拒了)
一面(技术+综合):技术问题:osi,tcp模型,mpls的原因,网络故障排错思路;其他:家庭情况,出差是否接受等
整体面试难度:🌟🌟🌟
6.安恒信息(安全领域后起之秀,马爸爸投资的公司,去年上市,市值200亿左右):远程技术支持工程师(offer)
笔试难度:🌟🌟🌟
单选+多选+简答
数通+linux+数据库+安全
侧重安全数通操作系统
一面:技术面
难度:🌟🌟🌟
问了数通+linux+安全+数据库;涉及到的有tcp三次握手,osi七层模型,arp代理,ipsec工作过程,linux命令(netstat ps ls grep 重启 cat vi/vim),数据库增删改查,dos攻击,CC攻击,排错过程,web攻防,除了数据库其他的答得比较顺利。
二面(终面):技术+综合
问了一些技术,osi常见协议在哪层,http和https的区别,arp工作过程,sftp,linux查看cpu,查看磁盘。综合面问到了在学校的收获,遇到的困难如何解决,期望薪资,岗位理解,实习经历的收获
7.迈普通信(知名通信设备厂商):技术支持/解决方案 (sp offer)
笔试难度:🌟🌟🌟✨
只有单选,数通+数据库+linux+安全+存储
侧重数通
一面技术+综合面
技术只问到了数通的部分,arp的作用,什么时候要用到arp;三层交换机收到数据怎么判断它要三层还是二层转发;路由器收到报文后的处理方式;nat(Dnat,Snat,双向nat)ospf流控,开销是在哪个报文更新;vrrp选举机制,双主的原因;学校经历,学校工作介绍,实践经历介绍
二面:主要考察对岗位的理解,工作内容,工作过程,没有聊其他内容
三面(sp,一般两次面试结束了):两个面试官,问的内容比较多,解决问题方式,遇到客户刁难处理方式,大学里最有意义的事;技术问题:rip和ospf的区别,三层和二层的区别,dos攻击方式,原理等
整体难度:难度🌟🌟🌟✨
8.海康威视(全球安防物联网厂商龙头,国企):技术支持(offer)
笔试难度:🌟🌟🌟🌟
5个部分:单选,多选,填空,简答,附加
逻辑+情景+数通+linux+存储+安全+数据库,这家侧重综合能力,有逻辑题,有情景题并且各种知识点的分布很平均,没有侧重哪个点
一面:只问简历上的内容,可能对我创业经历比较感兴趣,一半以上时间在讲这个,其他就是校内的一些生活的追问,部门职责,如何开展活动等;后面追了一个技术电话,问了osi七层模型,熟悉的协议,网线传播距离
二面hr:问的家庭情况,校园经历,最重要的收获,创业经历
整体难度:🌟🌟🌟
9.亿联网络(ip通信厂商,厦门市值第一的公司):运维/售前产品经理(offer)
无笔试
一面是hr面:家庭情况,手里几份offer,投递的公司,期望工作地点,薪资,城市;学校经历挖掘,岗位理解
二面技术+综合:网络安全法,等保2.0,dhcp工作过程,ddos攻击,nat种类,ospf和bgp的区别,创业最大的收获(这个面试官是所有面试中最有趣的面试官,全程氛围非常愉悦)
二次面试面了售前
一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
707
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
