因此,有不少年轻人纷纷想加入网络安全行业,抢占先机。
但由于网络安全行业的岗位很多,例如:信息安全工程师、渗透测试工程师、应急响应、逆向安全、溯源取证、安全架构师、恶意软件分析师等等,导致很多人不知道从哪个方向学起。
下面凭借自己入行十几年的经验给大家详细说说:
其实,对于0基础转行网络安全的学者们,建议从web安全学起。 为什么这么说呢?
首先,web安全相对于整个网络安全行业来说难度是相对比较低的,学起来更加容易入手。虽然渗透测试工程师、溯源取证、红蓝攻防等等这些岗位看起来很不错,但是技术门槛特别高,对于0基础的人来说学起来会相当吃力。所以,web安全方向对于初学者来说是最好入门选择。
现阶段,爆发安全问题最多的就是web安全,大部分攻击都是从web安全入手的。例如:内网渗透、工控安全都要依托于web安全。因此,web安全在整个网络攻击中起着特别关键的作用。
那么,如何学习web安全呢?
第一步:了解系统
Windows系统、Linux系统和有关运维维护系统。
第二步:熟练掌握前端和后端编程语言
前端:HTML,css,js脚本
后端:Java,PHP,MySQL,Python脚本
第三步:熟悉web渗透相关工具
AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。
了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;下载无后门版的这些软件进行安装;待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;
第四步:了解web十大漏洞进入实战
1.sql注入
2.失效的身份认证和会话管理
3.跨站脚本攻击 XSS
4.直接引用不安全的对象
5.安全配置错误
6.敏感信息泄露
7.缺少功能级的访问控制
8.跨站请求伪造 CSRF
9.使用含有已知漏洞的组件
10.未验证的重定向和转发
下面我们再看看,web安全岗位的薪资情况:
网络安全学习路线&学习资源
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
阶段一:基础入门
该阶段学完即可年薪15w+
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
阶段二:技术进阶(到了这一步你才算入门)
该阶段学完年薪25w+
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
阶段三:高阶提升
该阶段学完即可年薪30w+
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
阶段四:蓝队课程
攻防兼备,年薪收入可以达到40w+
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
同学们可以扫描下方二维码获取哦!
学习教程
第一阶段:零基础入门系列教程
第二阶段:学习书籍
第三阶段:实战文档
尾言
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。!!!