如何入门
- 简单了解网络安全
网络安全就是指的确保网络系统中的数据不被别人破坏,而网安工程师就是涉及程序来维护网络安全。
网安方向有很多职位,比如安全产品工程师,安全分析师,数据恢复工程师,网络架构工程师,安全编程工程师,以及网络集成工程师等。
工作内容主要包括: 安全评测,风险评估,安全服务,防火墙,入侵检测,渗透测试,云防护,系统防护,代码审计等
2. 入门路线
了解电脑知识
这个够基础了吧,包括windwos基础,Linux基础,标记语言,代码js基础,网络基础,数据库及虚拟机使用等
可以简单的学会抓包,知道抓到的包在说什么。入手web安全
web架构,web优化及安全防护,学点Python能看懂代码,网站开发也可以学习一些,这里的都是一些基础,不用太深入。
其次想要进入web安全领域,还要学会web渗透,OWASP top 10 等常见的web漏洞原理及利用方式,包括SQL注入,XSS攻击,webshell木马编写,提权,命令执行等。
熟悉基本的概念: SQL 注入,上传,XSS,CSRF,一句话木马等
推荐书籍《 精通脚本黑客》,很老的书了,而且也有一些错误,但是对于入门来说足够。
到这里你就算基本上入门了。
后续学习
攻防演练,等保测评,风险评估,这些都是在你入门后学习的。
熟悉渗透相关的工具:
AWVS ,sqlmap.Burp,nessus,chopper,namp,Appscan 等工具
具体教材可以在SecWiki上搜索。
广义上说,你作为一个网络安全师需要学习的内容如下:
- 通信协议:TCP、HTTP、HTTPs
- 操作系统:Linux、Windows
- 服务架设:Apache、Nginx、LAMP、LNMP、MVC
- 架构数据库:MySQL、SQL Server、Oracle
- 编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)
但我们通常学习20%的核心内容来完成80%的工作,所以压缩一下:
- 安全理论:OWASP TOP 10 、PETS、ISO 27001
- 后端安全:SQL注入、文件上传、Webshell(木马)、文件包含、命令执
- 前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造…
- 安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web入侵防御)、Web主机防护
黑客学习资源分享:
因篇幅有限,仅展示部分资料,如遇二v码违规,需要点击下方链接即可前往获取~
概念性知识
1、了解什么是网络安全 2、清楚法律法规 3、网络安全干什么
然而当你掌握了 Web 基础知识时,你才会残酷的发现你还远远没有入门。
大纲
首先要找一份详细的大纲。
多看书
阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。
书籍的好处就在于权威和体系健全,刚开始学习的时候你可以只看视频或者听某个人讲课,但等你学完之后,你觉得你掌握了,这时候建议还是得去看一下书籍,看权威技术书籍也是每个程序员必经之路。
现在 Web 安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书。
常用工具的学习
1.Burpsuite 学习 Proxy 抓包改包学习 Intruder 爆破模块学习实用 Bapp 应用商店中的插件
2.Nmap 使用 Nmap 探测目标主机所开放的端口使用 Nmap 探测目标主机的网络服务,判断其服务名称及版本号
3.SQLMap 对 AWVS 中扫描出的 SQL 注入漏洞使用 SQLMap 进行数据获取实践常见漏洞类型的挖掘与利用方法
学习开发
作为一个高级安全员,要始终把开发作为第一要义
这份完整版的网络安全全套学习资料已经上传至CSDN官方,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费获取~
因篇幅有限,仅展示部分资料,如遇二v码违规,需要点击下方链接即可前往获取~