初级技能:
这些是每个在尝试破解之前都应该了解的基础知识。一旦掌握了本节中的所有内容,就可以进入中级水平。
-
基本的计算机技能
要成为您需要一些基本的计算机技能。这些技能超出了创建 Word 文档或冲浪的能力。您需要能够在 Windows 中使用命令行、编辑注册表并设置网络参数。
就目前的网络环境而言你可以在很多地方免费学习到这些基础的知识。你只需要付出对应的时间进行一步一步的学习。
2. 网络技能
-
DHCP
-
NAT
-
子网划分
-
IPv4
-
IPv6
-
公共与私有 IP
-
域名系统
-
路由器和交换机
-
VLAN
-
OSI 模型
-
MAC地址
-
ARP
不要轻视这些网络技能,作为而言每天打交道的就是这些内容,你只有了解的越深,在做任何项目的时候才提交自己的成功率。
3.Linux技能
学习使用 Linux 系统是成为最关键的开头。我们作为使用的几乎所有工具都是为 Linux 开发的,而 Linux 为我们提供了使用 Windows 所没有的功能。
4. Wireshark 或 Tcpdump
Wireshark 是使用最广泛的嗅探器/协议分析器,而 tcpdump 是命令行嗅探器/协议分析器。两者在分析 TCP/IP 流量和攻击时都非常有用。
5. 虚拟化
您需要熟练使用其中一种虚拟化软件包,例如 VirtualBox 或 VMWare Workstation。理想情况下,您需要一个安全的环境来练习您的技巧,然后再将它们带到现实世界中。虚拟环境为您提供了一个安全的环境,可以在使用它们之前测试和改进您的 hack。
6. 安全概念与技术
必须了解 PKI(公钥基础设施)、SSL(安全套接字层)、IDS(入侵检测系统)、防火墙等。关于这些内容大家可以在各种平台免费学习到入门技术。这些内容我还是首推自学。因为最大的消耗不是技巧,而是占用的时间太多。
7. 无线技术
为了能够破解无线,您必须首先了解它是如何工作的。诸如加密算法(WEP、WPA、WPA2)、四次握手和 WPS 之类的东西。但是别瞎搞,要根据互联网安全法来进行学习与实战。
深度学习计划| 无线WIFI网络安全 技术初级范围定义 Wifite 自动化wifi破解 新手无线安全领域(WIFI)必备设备
中级技能
8.脚本编写的能力
如果没有脚本技能,将只能使用其他黑客的工具。这限制了你的效率。随着安全管理员提出防御措施,每天存在的新工具都会失去效力。要开发自己独特的工具,您至少需要精通一种脚本语言,包括 BASH shell。这些应该包括 Perl、Python 或 Ruby 之一。我这里推荐初学者学习:Python
9.数据库
如果您希望能够熟练地破解数据库,您将需要了解数据库及其工作原理。这包括 SQL 语言。我还建议掌握主要的 DBMS 之一,例如 SQL Server、Oracle 或 MySQL。我这里推荐大家去学习:Sql 以为这些都是可以在互联网之中免费学习到的。
11.网络应用
Web 应用程序可。您对 Web 应用程序的工作原理及其背后的数据库了解得越多,
12.调查取证
有一句俗话:知己知彼百战百胜,要成为优秀的,你一定不能被发现!您对数字取证了解得越多,就越能更好地避免和逃避检测。
13.高级TCP/IP
初学者必须了解 TCP/IP 基础知识,但要达到中级水平,则必须深入了解 TCP/IP 协议栈和领域。其中包括如何操纵 TCP 和 IP 数据包中的每个字段(标志、窗口、df、tos、seq、ack 等)并针对受害系统使用以启用中间人攻击等。
14.密码学
虽然不需要成为密码学家才能成为一名优秀,但您对每种密码算法的优缺点了解得越多,击败它的机会就越大。此外,黑客可以使用密码学来隐藏他们的活动并逃避检测。
15逆向工程
逆向工程使您能够打开一个恶意软件并使用其他特性和功能重新构建它。就像在软件工程中一样,没有人从头开始构建新的应用程序。
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图:
学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!