非常详细 建议收藏 奇安信QCCE大牛整理出的网络安全学习路线 学不会我退出安全圈

最新推荐文章于 2024-07-25 18:08:40 发布
最新推荐文章于 2024-07-25 18:08:40 发布
阅读量1.3k 收藏 20
点赞数 26
文章标签: 安全 web安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Saki_Python/article/details/136037027
版权

我是去年9月22日才正式学习网络安全的,因为在国营单位工作了4年,在长沙一个月工资只有5000块,而且看不到任何晋升的希望,如果想要往上走,那背后就一定要有关系才行。而且国营单位的气氛是你干的多了,领导觉得你有野心,你干的不多,领导却觉得你这个人不错。我才24周岁,实在的受不了这种工作氛围,情绪已经压制了很多久,一心想着要跳出来,却一直找不到合适的机会。因为身边的朋友有在北京做网络安全的,他工作了三年的时间,可以在北京拿到3万的月薪,说心里话我是真的羡慕,这远超出了我的认知范围。所以经过朋友的推荐,我开始学习网络安全,一共学了大概5个多月的时间,今年的3月6号在长沙找到了一份渗透测试的工作,我包装了一年的工作经验,月薪9K五险一金,这算是成功上岸了。

在刚开始学习的时候我考虑过去线下培训班,但是我朋友不建议去,因为他就是培训出来的,他和我说去培训班几乎没作用,你去了之后会发现全程都是靠自己自学,老师上完课就走,不如自己看视频学有效率,如果再有一次机会,我绝对不会花3万块钱去培训。因为朋友是过来人,他的建议我不得不听,而且我在网上查了一下,培训班的口碑似乎都不好,这就让我直接放弃了培训的想法。况且3万的培训费用是我不吃不喝半年的工资,确实有点舍不得。

我的学习心得,我认为能不能自学成功的要素有两点。

第一点就是自身的问题,虽然想要转行学习网络安全的人很多,但是非常强烈的想要转行学好的人是小部分。而大部分人只是抱着试试的心态来学习,这是完全不可能的。所以能不能学成并且就业,最关键的一点就是自己的愿望是否强烈。我是属于非常强烈那种,因为忍受不了现在工作的氛围,以及羡慕朋友在北京可以拿到3万的月薪,这些因素都促使我非常拼命的学。在加上自身可以做到从下班就开始看视频自学,一直学到晚上12点的这股劲,所以才能在5个月的时间内达到就业的水平。

第二点就是有大佬带你,如果全程都靠自己摸索是非常难的,对于一个不是本专业的人来说从开始的时候就“无从下手”。更不要说在学习过程中遇到的无数bug问题很难得到解决,因为我们在学习过程中会遇到无数问题,有的时候一个小问题就能困扰我们几个小时的时间,会导致我们的学习效率很低,这种情况出现多了以后,信心就会受到打击,觉得自己不适合学编程,最终放弃。而当有一个大佬去给你解答后,你会很快得到答案,并且能理解为什么要这样做,到底是哪里出现了问题,学习效率会非常高。

所以总结就是自身自觉主动学习在加上大佬全程带你,其实学习就是这么简单的事情,无非就是这两个关键的要素,少了其中一个都很难成功。

(1)交流沟通

切记不要认为自己可以摸索自学成功,能达到一定高度的水平,一定离不开很多专业人的指导,所以多认识一些大佬尤为重要,圈子真的可以决定我们可以达到什么水平。

**

(2)效率:

能快尽量快,如果你已经决定要转行学习网络安全,就千万别拖泥带水,把大部分的精力都投入进来,如果你是那种三天打鱼两天晒网的情况,我劝你尽早的放弃不要浪费时间,有这个时间去锻炼锻炼身体不好吗?

(3)学习心态

一定要抱着决心转行的心态来学,自身的意愿强度决定了你是否能转行成功。

给自学网络安全的初学者的学习建议:

1.了解如今的市场,都需要掌握哪些主要技术就可以快速就业,目前的企业都需要什么人才,这是你学习的方向和目标。

2.系统的学习规划: 有一个整体学习大纲,要知道自己每天学习什么,做什么练习进行知识巩固,一个阶段学完后应该完成什么项目实战,进行循序渐进的学习,不可以盲目的瞎学。

3.一个大佬的指导: 作为一个初学者一定要记得找大佬指导你,即使是花点钱也没关系,只要你能把技术学好就行。自己摸索基本都是弯路,很多人为什么学了一两个月就放弃了,因为他不知道路在哪里,整个人都是迷茫的,自然容易放弃。但如果你有了一个大佬带你,他就会给你做详细的学习计划,给你安排好一切,在整个学习过程中给你解答疑问,你学习起来就会思路清晰,简单效率。

网络安全主要的学习内容:

1、Web安全相关概念(2周)

  • 熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。
  • 通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;
  • 阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;
  • 看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);

2、熟悉渗透相关工具(3周)

  • 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。
  • 了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;
  • 下载无后门版的这些软件进行安装;
  • 学习并进行使用,具体教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;
  • 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;

3、渗透实战操作(5周)

  • 掌握渗透的整个阶段并能够独立渗透小型站点。
  • 网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等);
  • 自己找站点/搭建测试环境进行测试,记住请隐藏好你自己;
  • 思考渗透主要分为几个阶段,每个阶段需要做那些工作;
  • 研究SQL注入的种类、注入原理、手动注入技巧;
  • 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等;
  • 研究XSS形成的原理和种类,具体学习方法可以Google/SecWiki;
  • 研究Windows/Linux提权的方法和具体使用;

4、关注安全圈动态(1周)

  • 关注安全圈的最新漏洞、安全事件与技术文章。
  • 通过SecWiki浏览每日的安全技术文章/事件;
  • 通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下;
  • 通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累),没有订阅源的可以看一下SecWiki的聚合栏目;
  • 养成习惯,每天主动提交安全技术文章链接到SecWiki进行积淀;
  • 多关注下最新漏洞列表,推荐几个:exploit-db、CVE中文库、Wooyun等,遇到公开的漏洞都去实践下。
  • 关注国内国际上的安全会议的议题或者录像,推荐SecWiki-Conference。

5、熟悉Windows/Kali Linux(3周)

  • 学习Windows/Kali Linux基本命令、常用工具;
  • 熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等;
  • 熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;
  • 熟悉Kali Linux系统下的常用工具,可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
  • 熟悉metasploit工具,可以参考SecWiki、《Metasploit渗透测试指南》。

6、服务器安全配置(3周)

  • 学习服务器环境配置,并能通过思考发现配置存在的安全问题。
  • Windows2003/2008环境下的IIS配置,特别注意配置安全和运行权限,;
  • Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等;
  • 远程系统加固,限制用户名和口令登陆,通过iptables限制端口;
  • 配置软件Waf加强系统安全,在服务器配置mod_security等系统;
  • 通过Nessus软件对配置环境进行安全检测,发现未知安全威胁。

7、脚本编程学习(4周)

  • 选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习。
  • 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
  • Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》,不要看完;
  • 用Python编写漏洞的exp,然后写一个简单的网络爬虫;
  • PHP基本语法学习并书写一个简单的博客系统,参见《PHP与MySQL程序设计(第4版)》、视频;
  • 熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选);
  • 了解Bootstrap的布局或者CSS;

8、源码审计与漏洞分析(3周)

  • 能独立分析脚本源码程序并发现安全问题。
  • 熟悉源码审计的动态和静态方法,并知道如何去分析程序;
  • 从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析;
  • 了解Web漏洞的形成原因,然后通过关键字进行查找分析;
  • 研究Web漏洞形成原理和如何从源码层面避免该类漏洞,并整理成checklist。

9、安全体系设计与开发(5周)

  • 能建立自己的安全体系,并能提出一些安全建议或者系统架构。
  • 开发一些实用的安全小工具并开源,体现个人实力;
  • 建立自己的安全体系,对公司安全有自己的一些认识和见解;
  • 提出或者加入大型安全系统的架构或者开发;

网安福利大礼包
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
在这里插入图片描述
② 路线对应学习视频
在这里插入图片描述
😃朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫下方码免费领取

👉CSDN大礼包🎁:全网最全黑客资料免费领取🆓!(安全链接,放心点击)

2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
在这里插入图片描述
② 黑客技术
在这里插入图片描述
3️⃣网络安全源码合集+工具包
在这里插入图片描述
在这里插入图片描述
😃朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫下方码免费领取

👉CSDN大礼包🎁:全网最全黑客资料免费领取🆓!(安全链接,放心点击)

Python_P叔
关注
  • 26
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
奇安信天擎终端安全管理系统管理员手册
04-26
奇安信天擎终端安全管理系统管理员手册
Matlab 代码 QCCE:Quality Constrained Co-saliency Estimation:这项工作计算显着图的分数,以便它们可以形成共显着性和后续的共同对象定位(或共定位)-matlab开发
05-29
尽管最近在图像联合处理方面取得了进展, 有时它可能不如单个图像有效处理对象发现问题。 在本文中,同时针对常见物体检测,我们试图解决这个问题通过提一个新的 QCCE: Quality Constrained 共显着性估计方法。 这里的方法是迭代通过共同显着性估计更新显着图取决于质量得分,表明得分的高低前景和背景可能性的分离(越容易分离,显着图的质量越高)。 在这方式,联合加工 a 按质量的显着图。 此外,所提的方法可以应用于与其他无监督和有监督的场景不同专门为一种场景设计的方法。 实验结果证明了该算法的优越性能所提的方法与最先进的方法相比。
非常详细 建议收藏 奇安信QCCE整理网络安全学习路线 不会退出安全
MachineGunJoe666
04-11 480
切记不要认为自己可以摸索自成功,能达到一定高度的水平,一定离不开很多专业人的指导,所以多认识一些大佬尤为重要,子真的可以决定我们可以达到什么水平。
这才是CSDN最系统的网络安全学习路线建议收藏
2401_84466229的博客
06-11 1513
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全学习路线图(2024版详解)
baimaozi008的博客
06-11 1293
近期,大家在网上对于网络安全讨论比较多,想要学习的人也不少,但是需要学习哪些内容,按照什么顺序去学习呢?其实我们已经国多版本的网络安全学习路线图,一直以来效果也比较不错,本次我们针对市场需求,整理了一套系统的网络安全学习路线图,供大家学习参考。希望大家按照路线图进行系统学习不仅可以更高效的完成上岸,还能够系统化学习,提升自己的后期竞争力。
奇安信2023网络安全人才市场状况研究报告页.pdf
01-23
据“奇安信2023网络安全人才市场状况研究报告”显示,从2022年3月至2023年5月,我国网络安全科技人才的市场需求累计增长达到了40%。这一显著增长表明,越来越多的企业正认识到网络安全的重要性,并积极布局,以吸纳...
奇安信:95015网络安全应急响应分析报告(2023)
01-25
2023 年,奇安信集团安服团队共接到应急服务需求 853 起。政府部门、制造业和金融机构的业务专网是 2023 年攻击者攻击的主要目标。 严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力,是当前...
360网神&奇安信虚拟化安全V7.0用户手册.docx
02-02
360网神&奇安信虚拟化安全V7.0用户手册 本手册是360网神&奇安信虚拟化安全V7.0的用户手册,旨在帮助用户了解虚拟化安全管理系统的功能和使用方法。该手册涵盖了产品概述、设计理念、产品架构、功能使用说明、登录、...
Zabbix使用SNMP方式监控奇安信安全设备
05-16
基础信息有:CPU、General、Memory、Power supply、Status、Network interfaces、Temperature等指标
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 440
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1087
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
大坝安全监测设备有哪些主要功能?
yyth13276363312的博客
07-24 321
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
内网安全:IPC横向
8888的博客
07-23 696
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1146
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 605
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
充电桩浪涌保护方案—保障充电设施安全稳定运行的关键
Leiditech_的博客
07-24 907
大功率TVS二极管则以其极快的响应速度(纳秒级)和精准的电压钳位能力,对残余的浪涌进行进一步抑制,确保后端电路的安全。然而,由于其复杂的电气环境和暴露于户外的特点,充电桩容易受到浪涌的影响。浪涌可能来自雷电、电网故障、大功率设备的启停等,对充电桩的电子设备和储能系统造成严重损害。它具有超强的浪涌吸收能力和抑制电压能力,在实际应用中通常并接在电路中,既能解决雷击大浪涌问题,又能对静电起到超强的防护效果。3. 设备启停:大功率设备(如电动机、变压器等)的启动和停止会引起线路中的电流和电压突变,产生浪涌。
S-HTTP协议:确保网络通信安全的重要基石
jiamisoft的博客
07-23 651
S-HTTP,全称为Secure Hypertext Transfer Protocol,是一种安全的超文本传输协议,最早于1994年提,并在1995年正式发布。作为HTTP(Hypertext Transfer Protocol)的一个扩展,S-HTTP旨在通过网络通信提供加密和认证机制,确保数据传输过程中的安全性和完整性。每个S-HTTP文件都经过加密处理,或者包含数字验证,甚至两者兼备,这一特性使得S-HTTP成为需要高安全性数据传输场景下的理想选择。
安全与服务的双重奏:探究ISO20000和ISO27001的企业变革力量
最新发布
xinbiao001的博客
07-25 888
ISO20000是一个面向机构的IT服务管理标准,旨在提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。它主要关注的是IT服务管理的流程和质量,帮助企业建立高效的IT服务支持,确保IT服务与企业业务目标一致,提高信息技术服务和运营效率,控制IT风险及相关的成本。例如,华为技术有限公司就通过实施这两项体系,提高了内部IT信息安全管理规范,改善了员工对信息安全服务的认知,提升了品牌形象,并促进了与客户的关系。成功的关键在于管理层对这一过程的承诺,以及员工对标准和流程的认同和遵循。
奇安信帮助手册R9.2:网络安全技术与服务指南
奇安信是一家专注于网络安全的公司,为政府、军队、企业、教育、金融等领域提供企业级的网络安全技术、产品和服务。该帮助手册R9.2旨在为用户提供详尽的指南,帮助他们理解和使用奇安信的产品。手册中明确表示,尽管...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值