我在网络安全行业爬模滚打8年,十多年前还是高中生的时候开始搞安全的,刚开始是看大佬们在群里发黑页觉得很牛逼。然后慢慢开始学,当时还在网上问过IP和ID有什么区别,,,
后来慢慢开始学注入,日到了第一个站,是家卖钢琴的。放了webshell,当时也不懂,网上下的其实是有后门,会被回传到人家webshell箱子里。过了几天人家官网上多了很多菠菜广告,当时还纳闷搞钢琴的还整这一出,,,
再后来慢慢学慢慢搞,靠注入把我们县里初高中日了个遍,挂些杀马特黑页
再后来大学选了计算机网络,网络这块基础很扎实,也为后面打红队提供了不少便利。也开始慢慢学编程,学python,试着看sqlmap源码。
然后正好那年爆了struts2,学了点java。再开始自己学javaweb,ssh、ssm写些乱七八糟的站。开发学了些之后就对漏洞有了更深的了解,看到啥功能大概脑子里知道是怎么实现。
毕业后去了安全公司,开始接触内网。18年打了第一个内网,当时用cs的人还不多
把他当远控工具来用。当年站也好日,外网找找注入,弱口令+上传,struts2,weblogic啥的。第一次输出不错所以接二连三参加几次护网,每次都有很大收货
后来就是打域,分析漏洞、挖洞审代码, ,越来越熟练,,,
所以算是半个野路子吧。
认识很多红队大佬,有初中毕业的、中专毕业边修车边自学的。现在都是行业里面的大佬。
看看网上说网络安全没有前途的,多半是生活不如意的人。
看看过去的2022年,各种勒索软件、钓鱼软件层出不穷,甚至包括ChatGPT等在内的人工智能技术也给犯罪分子带来可乘之机,网络安全的发展有越来越大的空间。
同时,业内专家认为,在国家大力推进数字化转型的大背景下,2023年,网络安全产业蓬勃发展的势头将继续保持,终将成为不可或缺的支撑力量。
那么如何学习网络安全呢?
学习网络安全的些许准备
学习网络安全不需要配置很高的电脑,黑客用的电脑,从来不是根据高配置选择电脑,只要稳定就行。因为黑客所使用的一些程序,低端 CPU 也可以很好的运行,而且不占什么内存。黑客是在 DOS 命令下对进行的,电脑能使用到最佳状态就可以了。
很多人会纠结学习黑客到底是用 Linux 还是 Windows 或者是 Mac 系统,Linux 系统对于新人入门并不友好。Windows 系统一样可以用虚拟机装靶机进行学习,当然是根据学习者自己的感觉来选择系统。
至于编程语言,Python、PHP、 C++、Java 都是可以的,学习编程只是工具不是目的,我们的目标不是成为程序员,而是成为网络安全员,编程只是为了看懂程序。
网络安全学习路线
第一阶段:基础操作入门
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在 1 个月左右比较合适。
在学习基础入门课程的同时,同时阅读相关的书籍补充理论知识,这里比较推荐以下几本书:
《白帽子讲Web安全》
《Web安全深度剖析》
《Web安全攻防 渗透测试实战指南》
第二阶段:学习基础知识
在这个阶段,你已经对网络安全有了基本的了解。如果你认真学习完第一步,什么是 sql 注入,什么是 xss 攻击这些已经都明白了,对 burp、cs 等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!所谓的“打地基”其实就是系统化的学习计算机基础知识
第三阶段:实战操作
1.挖 SRC
挖 SRC 的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,更多的还是要进行实操,把理论知识运用到实践中,确保更好的掌握知识点。
2.从技术分享帖学习
观看学习近十年所有挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
到这一步,再加上之后对挖掘漏洞的技术多加练习与积累实战经验,基本就可以达到安全工程师的级别
至于文中所提到的学习路线,网络安全书籍,SRC,常用工具安装包等资料都已经上传到CSDN。