首先我们说说什么是网络安全?
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
想学网络安全首先得学习了解网络,学网络的最终目的是为了选择就业方向看清网络拓扑图,对客户机房安全规划形成纵深防御体系,如果只是单纯想提升技术,可以主要学习网络协议,如网络层、链路层、传输层和部分应用层协议。
合格的渗透测试工程师入门条件是什么?
学习网络至少要先知道http/https抓包后能读懂是什么意思,然后就可以开始入手web安全。为什么要先学习web安全呢?随着网络科技的发展与多样性,人人都能接触到网络,这也造成的网络环境的安全隐患出现。过去的计算机端口都暴露在外,很多应用在公网上没有保护措施,黑客很容易就能直接进行扫描攻击。而现在对整个内网系统有威胁的外部因素大概只能接触到web了,web是必须对外开放的。黑客一般先通过入侵web从而对内网其他系统进行后渗透。
学习web安全除了需要清楚HTTP和HTTPS协议外,还需要了解web应用是如何搭建的。只有清楚它的结构才能更好地掌握它每一处薄弱点,所以网站开发相关知识体系也需要了解。学Python至少能看懂部分代码,掌握核心语法;web前端和web后端也需要学习。因为web是由前端你所看到的页面和后端数据储存组成。
进入web安全领域需要掌握哪些?
掌握OWASP TOP10等常见web漏洞原理与利用方式。例如SQL注入、文件上传、Webshell木马编写、命令执行、XSS跨站脚本攻击、CSRF跨站伪造请求等。
web渗透懂了之后就可以开始进行后渗透,就是持续控制进行内网横向渗透,web渗透可能不是你学习的最终目的,这时候就需要掌握相关系统层面漏洞,如ms17-010永恒之蓝等各种微软ms漏洞。如果想要进一步提升自己,kali Linux是一个很好的学习平台,例如它的metasploit平台能学习很多直接攻击手段,也有许多攻击工具。当然Kali Linux也是Linux,所以掌握Linux操作系统命令也是不可或缺的环节。Linux命令除了对这个有用,在工作中遇到客户服务器操作也能用到。或许可以说是中大型企业主流操作系统,不管是红帽、Ubuntu还是centos都相差无几。当然操作系统除了掌握Linux命令外,掌握dos的基本命令也有好处。
学会以上的并不代表你就是网络安全专家,从网络安全从业岗位来说,这仅仅只是算渗透测试工程师,虽然可以算作安全服务,当安全服务还有其他很多业务,例如护网、红蓝对抗、风险评估、等保测评和攻防演练等。除了安全服务部门,还有研发部,与网络通信领域一样,互联网安全产业中安全设备等硬件产品占了一般市场经济。网络安全防护并不全靠人工,所以研发部和互联网开发一样,主要进行网络安全产品软硬件开发,这就是安全领域内的程序员。
产品开发出来还需要销售,在安全行业有个岗位不仅很特殊而且还很重要,并不需要技术多厉害,但需要有大局观,要对客户整个网络安全构架有清楚认知,哪有有不足和需要改进的地方,如何改、需要什么样设备等都需要仔细考虑然后整理方案出来。这种人在安全领域叫售前工程师,一般对网络知识有很深的了解同时,对各类安全知识、安全标准、安全规则、相关法律法规都需要有足够了解。还需要具备跟客户沟通、写文案的能力。
除了售后,如果客户在安装好产品却不会用该怎么办?或是客户需要每天都有人来运维安全产品该怎么办?安全运维工程随之诞生,安全运维工程师又叫驻场工程师,一般是乙方以安全服务形式租给甲方。但这里的安全运维工程师和随便什么互联网公司都会招聘的安全运维工程师不一样,这个需要掌握一部分渗透知识和安全设备相关知识,除了做好每日工作、出具相关报告,有安全问题也需要及时配合解决,参与应急响应等。还有代码审计岗位,安全研究岗位,逆向相关等等。
从应用场景这个维度来分析,你所学习的安全也仅仅是普通的web安全跟系统安全,实际上生活中还有许多场景和所学知识不挂钩,如工业控制系统。什么是工业控制系统?就是跟生活生产相关的,水、电、化学产品、生活用品,原来都是工厂生产,人工流水线,随着互联网发展,他们也用上了自己的网络体系,使产品的出产更加方便快捷,但在方便快捷的同时也会催生很多安全问题,工控的软硬件系统跟微软操作系统完全不一样,DCS、SCADA、PLC等一系列工控相关系统都需要重新学习,这仅仅只是工控相关。
网络安全还有很多其他的方向,列入密码学,软件保护与破解等。没有人可以精通所有的领域,所有人学习网络安全都要根据自己的知识基础、兴趣爱好和职业发展类选择入门方向,这样才可以事半功倍。
网络安全学习路线&学习资源
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
阶段一:基础入门
该阶段学完即可年薪15w+
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
阶段二:技术进阶(到了这一步你才算入门)
该阶段学完年薪25w+
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
阶段三:高阶提升
该阶段学完即可年薪30w+
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
阶段四:蓝队课程
攻防兼备,年薪收入可以达到40w+
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
同学们可以扫描下方二维码获取哦!
学习教程
第一阶段:零基础入门系列教程
第二阶段:学习书籍
第三阶段:实战文档
尾言
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。!!!
982
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
