现在转安全还是有点搞头的
主要是两个方面的原因,一是市场需求,二是行业发展。随着互联网的普及和网络犯罪的不断增加,企业对网络安全的重视程度也越来越高,因此对于网络安全专业人才的需求也越来越大。
随着越来越多的人看到了网安这块大蛋糕,要吃到大块的,我们就要 成为顶尖中的顶尖
然而,自学网络安全,就相当于无头苍蝇乱飞,浪费时间精力不说,在你盲目学习的这段时间里,别人早就把你甩了十万八千里。
⚡现在是学习网安的好时机,千万别浪费这个风口!!!那我们应该怎么做呢?
以下是纯干货,一定要认真看完!如果看不完,可以点赞收藏后续消化!这里推荐一个黑客学习专栏,这里面有多个优质靶场、CTF平台的各路专项习题详解及攻击思路等:
【——帮助网安学习!点此获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④150+网安攻防实战技术电子书
⑤最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦最新网安大厂面试题合集(含答案)
⑧APP客户端安全检测指南(安卓+IOS)
1.详细的学习路线
自学网络安全是完全不行的,你会盲目地学习,一下学PHP,一下学工具,从而导致学的不精,知识点也不能连串起来,最后,你只会成为一名CV的脚本小子。
下面是高质量的网安的学习路线,根据这张图走,我保证你学得事半功倍,比任何一个人都快:
Web安全知识学习(理论期)
web基础/渗透环境搭建/常用工具
1.Web方面的基础知识,例如HTML,CS,JS等内容。以及网络通信协议,密码学基础,常见漏洞类型,操作系统以及相关专业名词解释等(具体可以参考漏洞银行学习路线内容)
2可以尝试在本地搭建相关的环境,
如DVWA,Pikachu等安全靶场。以及后期需要用到的各类框架,工具也需要配置相关的环境(例如Sqlmap需要Python环境,burpsuite需要Java环境等,也可以一气呵成,搭建一个有集成环境的虚拟机)
3.其次是了解下常用的安全框架,工具。
比如主流的SQL注入利用工具Sqlmap
以及可以用来抓包,暴力破解等功能的burpsuite。内网渗透中用到的Metaspolit,CS
信息收集中可能用到的Nmap,相关网络空间测绘平台,站长之家,第三方威胁情报中心等·还有诸如Beef,AWVs,Wireshark等工具,来辅助渗透测试,在Glthub上可以下载到大部分主流安全框架的源文件
Owasp top 10漏洞
注入
失效身份验证和会话管理·敏感信息泄露
XML外部实体注入攻击(XXE)·存取控制中断
安全性错误配置·跨站脚本攻击. (XsS)
不安全的反序列化
使用具有已知漏洞的组件。日志记录和监控不足
漏洞挖掘(初期实战)
相对于谷歌黑客语法,更加专业的信息收集途径。
网络空间测绘就是用一些技术方法,来探测全球互联网空间上的节点分布情况和网络关系索引,构建全球互联网图谱。
相对于谷歌黑客语法,能够获得更详细,更专业的搜索结果,以及更复杂的搜索语法,想要灵活运用有一点小门槛,当下很多通用漏洞也是基于网络空间测绘平台进行利用
其实挖不到漏洞,除了思路问题,技术问题,被大佬挖完等问题外,还有一点,信息采集不到位,有时信息收集可能微不足道,没有什么作用,但有时他却能决定本次渗透能否成功,所以一定要事先做好信息采集的工作,像whois,端口,目录,子域名
实战漏洞分析
对热门,经典漏洞进行复现,分析(中期实战)
寻找合适的CVE,CNVD等各大平台的知名漏洞,配置环境并进行复现,分析。
学习到了中期以后,就可以尝试去各大平台寻找一些知名的漏洞,配置环境或者直接寻找在线靶场进行复现以及漏洞分析(最近比较有名的Apache log4的RCE漏洞就可以去尝试)
如何找到相关项目?
上文中也有提到,前期可以在各类线上CTF比赛,SRC平台,以及论坛等进行练习。得到的成就,排名同样是就业时的加分项。这个行业比较看重个人技术水平,能否找到工作也很大一部分取决于你本人水平如何,与其他无关。
CTF的解题公式:WEB/MISC/RE/PWN/CY专业知识+CTF解题思维
CTF的赛题一定上会与实战有出入,不能一直以实战的角度解题,也不能一直以解题的思路去完成实际项目。打CTF的本质是为了提升技术,交流学习,不要忘记初心。
参加一个战队
想要在网络安全的道路上长期发展,加入一个适合自己的队伍是非常有必要的,不仅有更好的学习环境,还有了更多比赛交流的机会(大部分比赛都是队伍形式参加,且分线上选拔赛,以及线下决赛),毕竟我们大部分人都不是全栈选手,没法一个人兼顾全局。
网络安全可不能盲目自学、盲目自信、盲目自大!! 只有跟紧本文的网安学习路线,充分利用本文所给资料,才能真正实现快车道超车,让你速成安全领域大牛!
只要有心学习,坚持下来,多少都会有成果的,WEB安全的知识本质上不难,只是知识点很多,很杂。在拥有了一定的WEB安全专业技能后就可以尝试挑战,进一步提升自己。
以下是一些网络安全学习方面的书籍推荐,但是随着技术的发展和变化,书籍内容也会更新迭代。建议在学习过程中随时关注最新的网络安全技术。
以下资源全部都是最新高清PDF版,如果你需要这些资源可以点击下方小卡片领取,都是无偿分享~
别看东西很多,其实都是很简单的基础知识。计算机专业的同学都应该接触了解过,可以略过。
黑客&网络安全入门&进阶学习资源包,大家记得点个关注
Web安全/渗透测试推荐视频
没学过的同学也不要慌,可以再看点文献或者看相关视频
总结了一些零基础入门精品视频,相对于比较杂乱的教程要系统一些。
Web安全/渗透测试推荐工具
网络安全需要常用到的工具合集,当然不常见用到了也帮大家整理好了,这里就不一一展示。
Web安全/渗透测试推荐文档
偶尔也需要看一些文献帮助了解网络安全行业现阶段的需求和内容。
Web安全/渗透测试推荐面试题
以上资源全部都是最新高清PDF版,如果你需要这些资源可以点击下方蓝字领取,都是无偿分享~
【——帮助网安学习!点此获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④150+网安攻防实战技术电子书
⑤最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦最新网安大厂面试题合集(含答案)
⑧APP客户端安全检测指南(安卓+IOS)
762
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
