文章目录:
文章内容仅供参考
什么是网络安全:通过各种技术手段与管理措施来保护计算机系统 需要熟悉各种操作系统、掌握漏洞分析、熟悉各项法律法规、言语表达、文档编写 软件开发:使用计算机语言编写程序的过程博主笔记分享:[Web安全 网络安全]-学习文章汇总导航(持续更新中)
一:学习路线
1.工具使用
| 渗透工具 | 万能工具 | BurpSuite | |
| 安全检测 | IBM AppScan | ||
| 漏洞扫描 | Nessus、AWVS、Jsky、Nmap、Metasploitable、Nmap、 X-Scan、APPScan、AWNS、Kali Linux、Acunetix Scanner、Xray | ||
| 目录扫描 | WWWSCAN | ||
| 查找端口 | Masscan | ||
| 漏洞管理 | NSFOCUS RSAS | ||
| 重复提交数据包 | Burp | ||
| SQL注入 | Sqlmap、Nosec Pangolin | ||
| 抓包工具 | WrieShark、WSExploer | ||
| 测试工具 | Cobalt Strike、Aircrack-ng | ||
| 渗透框架工具 | Msf、CS、Empire | ||
| 其他工具 | Coby、XRay、ARL、水泽、Oneforall、Yakit、Kail | ||
| 其他工具 | 域名 | 阿里云万网 | |
| 模拟器 | 逍遥安卓 | ||
| 远程管理 | Quasar | ||
| 子域名 | Layer子域名挖掘机 | ||
2.基础阶段
| 网络安全行业法规 | 中华人民共和国网络安全法_百度百科 | |
| 了解网络安全问题 | 逻辑问题、非法输入、数据窃取、文件漏洞问题、社会工程、日志攻击、拒绝服务攻击 | |
| 信息收集 | 网络整体架构、域名信息、端口信息、站点信息、搜索引擎利用、参考链接 | |
| 计算机网络 | UDP/TCP协议、IP协议、DHCP协议、HTTP/HTTPS协议、网络协议、DNS协议、 VRRP协议、MSTP协议、OSPF协议、VPN协议、ARP协议 路由算法、域名、网络设备工作原理、OSI模型、七层四层模型、抓包分析、冯诺依曼体系 邮件协议、 SSL/TLS、IPsec、路由器、交换机、Wi-Fi、网络布线、网络防病毒、通信原理、数据转发流程 IDS入侵检测 IPS入侵防御 WAF防火墙、SDN架构、以太网、SOC、IPS、AD | |
| Windows服务安全 | 基础dos命令、PowerShell脚本组件、注册表、任务管理器、时间查看器 | |
| Linux操作系统 | 目录结构、命令、文件、网络权限磁盘、shell编程、VMWare、CentOS | |
| 编程 | 前端代码 | HTML、CSS、JS、ASP |
| 后端代码(对应框架) | PHP、Java(审计)、Python(工具)、C++、C#、C、GO、Ruby | |
| 数据库 | MySQL、Oracle、Redis、Mongodb、Sqlserver、SQLite、Access | |
| 加密解密技术 | base64编码、对称加密、非对称加密、哈希技术 | |
3.进阶阶段
| 常见漏洞 OWASP TOP 10 | SQL漏洞注入 | |
| 文件上传漏洞、文件包含漏洞、文件读取与下载漏洞 | ||
| XSS跨站脚本攻击 | ||
| CSRF跨站请求伪造 | ||
| SSRF服务端请求伪造 | ||
| XXE外部实体注入攻击XML | ||
| Web应用防火墙(WAF) | ||
| 业务逻辑漏洞 | ||
| 中间件解析漏洞 IIS、Nginx、Apache、Tomcat、Weblogic、Jboss、Glassfish、WebSphere | ||
| 反序列化漏洞 | ||
| RCE远程命令/代码执行漏洞 | ||
| 提权、开发、对抗 | ||
| 漏洞复现 (HVV护网三件套) | Log4j、FastJson、Shiro | |
| 漏洞利用 | 跳板攻击、免杀、持续控制、消除痕迹 | |
| 其他 | 密码攻击、无线网络渗透测试、隧道建立、横向移动、内网漫游、内网渗透、域渗透、 取证朔源、Webshell查杀、Web持久化、模糊测试、漏洞利用检测、ARP渗透 钓鱼、代理、免杀、社会工程学、投du、蜜獾、堡垒机、Src漏洞挖掘、跳板机 | |
4.提升阶段
| 等保测评与应急响应 | 等保、应急 |
| 代码审计与风险评估 | Java代码审计、PHP代码审计、C#代码审计 |
| 逆向免杀 | Windows逆向、Android逆向 |
| 数据安全及安全巡检 | 风险评估、免杀反杀技术、防御技术、云安全、内网安全防御、数据安全、K8S |
| 其他 | 架构平台X86/ARM、系统内核恶意代码分析、二进制漏洞利用 |
5.实战阶段
| 比赛竞赛 | CTF网络安全竞赛 SRC(安全应急响应中心)排名 | ||
| 攻防演练 | |||
二:相关
1.可以考哪些证书
| 证书 | NISP(网络安全信息人员认证) CISA(国际注册信息系统审计师) CISD(注册信息安全开发人员) ISO27001(信息安全管理体系认证) | ||
| 思科 | CCNA(思科认证网络工程师) CCNP(思科认证网络专业人员) CCIE(IT业行业认证) | ||
| 华为 | HCIA(华为认证网络工程师初级) HCIP(华为认证网络工程师中级) HCIE(华为认证网络工程师专家级) | ||
| H3C | H3CNA(H3C认证网络助理工程师) H3CSP(H3C中高级网络工程师证书) H3CIE(H3C认证互联网络专家) | ||
| 奇安信 | QCCA(网络安全助理工程师) QCCP(奇安信认证网络安全工程师) QCCE(奇安信认证网络安全专家证书) | ||
| 深信服 | SCSP列认证 | CISP(注册信息安全专业人员) CISSP(注册信息系统安全专家) CISP-PTE(注册信息安全专业人员渗透测试工程师) CISP-PTS(国家注册信息安全渗透测试专家认证) CISP-DSG(注册数据安全治理专业人员认证) CISP-PIP(注册个人信息保护专业人员认证) CISP-CTE(注册信息安全专业人员认证) CISP-IRE(注册信息安全专业人员-应急响应工程师) CISP-A(注册信息系统审计师) CISP-F(注册电子数据取证专业人员认证) | |
| CISP系列认证 | CISP-PTE(注册测试渗透工程师) CISP-PTS(注册渗透测试专家) CISP-DSG(注册数据安全治理专业人员) CISP-PIP(注册个人信息保护专业人员)、 CISP-A(注册信息系统审计师) CISP-IRE(注册应急响应工程师) CISP-IRS(注册应急响应专家) CISP-CTE(注册密码技术专家) CISP-F(电子数据取证专业人员) | ||
2.有哪些赛事比赛
| XDCTF(国际网络安全技术对抗联赛) | 由网络安全空间人才基金和国家创新与发展战略研究联合主办 |
| 全国大学生信息安全竞赛 | 由教育部高等学校信息安全类专业教学指导委员会主办 |
| X-NUCA(全国高校网安联赛) | 中国科学院大学网络空间安全学院主办 |
| ISG(信息安全技能竞赛) | 中国信息安全技能竞赛 |
| 信息安全铁人三项赛 | 围绕数据分析对抗赛、企业计算机环境安全对抗赛、个人计算机环境安全对抗赛, 由中国信息长野商会信息安全长野分会主办 |
| 网鼎杯-网络安全大赛 | gab指导。“Z产学研用”各领域权威举办,打造最大规模最高水平的国家顶级赛事 网络安全“奥运会” |
| 蓝帽杯-全国大学生网络安全技能大赛 | ga院校最具影响力、最高规格、最高水平的网络安全技能大赛 |
| XCTF全国竞赛 | 中国网络阿努齐安协会竞评演练工作组主办、南京赛宁承办 是国内最权威、最高技术水平与最大一系列的网络安全CTF竞赛平台 |
| AliCTF | 阿里巴巴组织,面向在校学生的CTF竞赛 |
| XDCTF | 西安电子科技大学组织举办 |
| HCTF | 杭州电子科技大学安全协会举办 |
| ISCC | 北京理工大学举办 |
| LCTF | 由L-Team战队组织 |
| TCTF | 由中国网络空间安全协会竞评演练工作委员会指导、腾讯安全发起、 腾讯安全实验室主办、Oops战队和北京邮电大学协会举办 |
| Real World CTF | 长亭科技主办国际级大赛 全球首创CTF多起赛和Pwn赛结合的全新赛制 赛题全部基于现实世界软件的修改或二次开发 |
| 百度杯CTF夺旗大赛 | 百度安全应急中心和i春秋联合举办 赛题丰富图片了技术和网络的限制 |
3.有哪些岗位
| 初级【市场】:0~2年 | 安全产品工程师、等保测评工程师、安全咨询工程师、销售工程师、客户渠道经理 安全售前售后工程师、安全运维工程师、解决方案工程师 |
| 专业【安全】:1~3年 | 渗透测试工程师、web安全工程师、安全服务工程师、Web安全工程师 无线安全工程师、移动安全工程师、业务安全工程师、安全经理 无线分析工程师、威胁分析工程师、红蓝对抗工程师 |
| 专家【研发】:3~5年 | 安全攻防工程师、安全研发工程师、威胁研究工程师、漏洞挖掘工程师、安全总监 攻防研究工程师:中间件攻防工程师、系统主机攻防工程师、内网安全攻防工程师 |
| 架构【架构】:5~10年 | 代码审计工程师、信息安全架构工程师、安全产品研发工程师、软件定义安全工程师 机器学习安全工程师、云安全架构工程师、软件逆向工程师、二进制安全研究员 |
4.招聘单位
| 甲方 | 互联网IT公司 | 游戏公司:腾讯(鹅肠)... 电商公司:阿里、今日头条... 社交公司:网易(猪场)... 科技公司:百度... 金融公司:蚂蚁 |
| 政fu单位 | XX局 | |
| 国央企 | 运营商、银行/金融/银联/邮政 | |
| 乙方 | 安全厂家 | 360、奇安信、天融信、绿盟科技、深信服、华为、长亭科技、知道创宇、蓝盾科技 |
| 代理商/服务商/集成商/包工 | 亚信、神州数码、华讯网络、中通服务、中信企业 |
5.工资区间
| S档 | 20~30W | 腾讯、网易、微保、华为、深信服、京东、平安 |
| A档 | 15~20W | 360、平安科技、顺丰、吉比特、多益游戏、虎牙、Bigo、YY 富途网络、\证券、运营商省会、邮政、迅雷、金山、中企通讯 |
| B档 | 10~15W | 银行、银联、亚信安全、三七互娱、珍爱网、星辉游戏、斗象科技、汇智通信、美的、绿盟科技、UCloud、宝宝网 |
| C档 | 6~10W | 金蝶、神州数码、卓望科技、任子行、上海凯融、4399、华威明天科技、运营商地级市、天融信、魔法科技 |
三:Web技术架构流程图
——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— ——>HTTP/HTTPS通信协议(输入网址)——>通过DNS域名解析(获取主机IP地址) 电脑PC-客户端(浏览器)————————Internet互联网网络————————Web服务器Server-服务端 <——HTTP/HTTPS通信协议(返回内容)网页 音视频 文本 ——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— Web前端 Web后端 HTML PHP:ThinkPHP框架、Laravel框架、Symfony框架 CSS JAVA:Spring框架、SpringBoot框架、SpringMVC框架 JS Python:Djiango框架、Tinkter GUI框架 GO(Golang):gin、echo(高性能)、iris(快速异步)、kubernetes(容器管理平台)、grpc(rpc框架) C#(CSharp):NET Framework框架、NET Core框架、Unity框架 C++:QT框架、Folly框架、Boost框架、Cocos2d-x框架 数据库服务器 MySQL、Oracle、Redis、Mongodb、Sqlserver、SQLite、Access Web服务器/容器/中间件 Windows环境:IIS Linux环境:Apache、Tomcat、Nginx ——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— 安全问题 1.Web前端安全问题 2.Web后端安全问题 3.Web数据库安全问题 4.Web通信安全问题 5.Web容器安全问题 ———————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
