(8) 旁路控制
:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”。利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(9) 授权侵犯 :被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。
(10) 特洛伊木马 :软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马 (Trojan
Horse)。
(11) 陷阱门 :在某个系统或某个部件中设置了“机关”,使得当提供特定的输入数据时,允许违反安全策略。
(12) 抵赖 :这是一种来自用户的攻击,例如,否认自己曾经发布过的某条消息、伪造一份对方来信等。
(13) 重放 :所截获的某次合法的通信数据备份,出于非法的目的而被重新发送。
(14) 计算机病毒
:所谓计算机病毒,是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两个功能:一种功能是对其他程序产生“感染”;另外一种或者是引发损坏功能或者是一种植入攻击的能力。
(15) 人员渎职 :一个授权的人为了钱或利益、或由于粗心,将信息泄露给一个非授权的人。
(16) 媒体废弃 :信息被从废弃的磁盘或打印过的存储介质中获得。
(17) 物理侵入 :侵入者通过绕过物理控制而获得对系统的访问。
(18) 窃取 :重要的安全物品,如令牌或身份卡被盗。
(19) 业务欺骗 :某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。
二、安全体系架构的范围
2.1 安全架构的范围
安全架构是架构面向安全性方向上的一种细分,比如细分领域含有运维架构、数据库架构等。如果安全性体现在产品上,那么,
通常的产品安全架构、安全技术体系架构和审计架构可组成三道安全防线 。
(1) 产品安全架构
:构建产品安全质量属性的主要组成部分以及它们之间的关系。产品安全架构的目标是如何在不依赖外部防御系统的情况下,从源头打造自身安全的产品。
(2 安全技术体系架构
:构建安全技术体系的主要组成部分以及它们之间的关系。安全技术体系架构的任务是构建通用的安全技术基础设施,包括安全基础设施、安全工具和技术、安全组件与支持系统等,系统性地增强各产品的安全防御能力。
(3 审计架构 :独立的审计部门或其所能提供的风险发现能力,审计的范围主要包括安全风险在内的所有风险。
2.2 安全架构的特性
安全架构应具备可用性、完整性和机密性等特性 。
- 可用性 (Availability) 是指要防止系统的数据和资源丢失;
- 完整性(Integrity) 是指要防止系统的数据和资源在未经授权情况下被修改;
- 机密性 (Confidentiality) 是指要防止系统的数据和资源在未授权的情况下被披露。
2.3 安全技术架构
安全架构设计可以从安全技术的角度考虑,
主要包括:身份鉴别、访问控制、内容安全、冗余恢复、审计响应、恶意代码防范和密码技术 等。
三、与信息安全相关的国内外标准及组织
3.1 国外标准
- (1)可信计算机系统评估准则 (Trusted Computer System Evaluation Criteria,TCSEC), 也称为“橘皮书”,1985年12月由美国国防部公布。
- (2)信息技术安全评估准则 (Information Technology Security Evaluation Criteria,ITSEC),英、法、德、荷四国联合编制。
- (3)加拿大可信计算机产品评估准则 (Canadian Trusted Computer Product Evaluation Criteria,CTCPEC), 加拿大,1993年。
- (4)美国联邦准则 (FC),TCSEC 的升级版,美国,1992年。
- (5)信息技术安全性评价通用准则 (The Common Criteria for Information Technology Security Evaluation), 由美国国家安全局和国家技术标准研究所联合加、英、法、德、荷等国编制,1993年。
- (6)ISO/IEC 7498-2, 信息处理系统,开放系统互联,基本参考模型。第2部分:安全结构 (Information Processing System; Open System Intercommection; base reference model;Part2:SecurityArchitecture), 由国际标准化组织 (ISO) 发布,1989年。
- (7)信息保障技术框架 (Infornation Assurance Technical Framework,IATF), 由美国国家安全局 (NSA) 发布,1999年。
- (8)ISO/IEC 15408-1999, 信息技术安全技术信息技术安全性评估准则,替代原C C 标准。由国际标准化组织 (ISO) 发布,1999年。
- (9)IEC 61508-2010, 电气/电子/可编程电子安全系统的功能安全 (Functional safety of electrical/ electronic/ programmable electronic safety-related systems), 由国际电工委员会发布,2010年。
3.2 国内标准
1)标准缩写含义
(1)GA: 国家安全行业标准规范。由中国安全技术防范认证中心组织发布。
(2)GB: 国家标准规范,由中国国家标准化管理委员会组织发布。
(3)GJB: 国家军用标准规范。
2)主要技术标准
- (1)GB 15834-1995 信息处理数据加密实体鉴别机制。
- (2)GA163-1997 计算机信息系统安全专用产品分类原则。
- (3)GB17859-1999计算机信息系统安全保护等级划分准则。
- (4)GB/T 9387.2-1995 信息处理系统开放系统互连基本参考模型第2部分:安全体系结构。
- (5)GB/T 20269-2006信息安全技术信息系统安全管理要求。
- (6)GB/T 20270-2006信息安全技术网络基础安全技术要求。
- (7)GB/T 20271-2006信息安全技术信息系统通用安全技术要求。
- (8)GB/T20272-2006信息安全技术操作系统安全技术要求。
- (9)GB/T20273-2006信息安全技术数据库管理系统安全技术要求。
- (10)GB/T 20274.1-2006 信息安全技术信息系统安全保障评估框。
- (11)GB/T 18231-2000信息系统低层安全。
- (12)GB/T 18237.1-2000信息技术开放系统互联通用高层第1部分:概述、模型和记法。
- (13)GB/T 18237.2-2000信息技术开放系统互联通用高层第2部分:安全交换服务元素服务定义。
- (14)GB/T18336-2015 信息系统信息技术安全评估准则。
- (15)GB/T 20438.1~7-2017 电气/电子/可编程电子安全相关系统的功能安全,由中国国家标准化管理委员会发布。
3.3 相关标准化组织
- (1)国际标准化组织 (ISO)
- (2)国际电工委员会 (IEC)
- (3)中国国家标准化管理委员会 (SAC)
- (4)全国信息技术标准化技术委员
四、安全模型
3.1 信息系统的安全目标
信息系统的安全目标是控制和管理主体(含用户和进程)对客体(含数据和程序)的访问 。
作为信息系统安全目标,就是要实现:
- 保护信息系统的可用性;
- 保护网络系统服务的连续性;
- 防范资源的非法访问及非授权访问;
- 防范入侵者的恶意攻击与破坏;
- 保护信息通过网上传输过程中的机密性、完整性;
- 防范病毒的侵害;
- 实现安全管理。
3.2 典型的安全模型
3.2.1 状态机模型
状态机模型, 一个安全状态模型系统,总是从一个安全状态启动,并且在所有迁移中保持安全状态,只允许主体以和安全策略相一致的安全访问资源。
3.2.2 BLP模型
BLP模型(Bell-LaPadula Model)。该模型为数据规划机密性,依据机密性划分安全级别,按安全级别强制访问控制。
3.2.2.1 BLP模型的基本原理:
(1)安全级别是“机密”的主体访问安全级别为“绝密”的客体时,主体对客体可写不可读。
(2)安全级别是“机密”的主体访问安全级别为“机密”的客体时,主体对客体可写可读。
(3)安全级别是“机密”的主体访问安全级别为“秘密”的客体时,主体对客体可读不可写。
3.2.2.2 BLP模型安全规则:
(1)简单安全规则 (Simple Security Rule): 安全级别低的主体不能读安全级别高的客体(No Read Up);
(2)星属性安全规则 (Star Security Property): 安全级别高的主体不能往低级别的客体写(No Write Down);
(3)强星属性安全规则 (Strong Star Security Property): 不允许对另一级别进行读写;
(4)自主安全规则 (Discretionary Security Property):
使用访问控制矩阵来定义说明自由存取控制。其存取控制体现在内容相关和上下文相关。
3.2.3 Biba模型
Biba 模型不关心信息机密性的安全级别,因此它的访问控制不是建立在安全级别上,而是建立在完整性级别上。
完整性的三个目标:
(1)保护数据不被未授权用户更改 ;
(2)保护数据不被授权用户越权修改(未授权更改) ;
(3)维持数据内部和外部的一致性 。
3.2.3.1 Biba模型基本原理
(1)当完整性级别为“中完整性”的主体访问完整性为“高完整性”的客体时,主体对客体可读不可写 (No Write Up),
也不能调用主体的任何程序和服务 ;
(2)当完整性级别为“中完整性”的主体访问完整性为“中完整性”的客体时,主体对客体可读读可写 ;
(3)当完整性级别为“中完整性”的主体访问完整性为“低完整性”的客体时,主体对客体可写不可读; (No Read Down) ;
3.2.3.2 Biba模型安全规则
Biba模型能够防止数据从低完整性级别流向高完整性级别 ,其安全规则如下:
(1)星完整性规则(*-integrity Axiom): 表示完整性级别低的主体不能对完整性级别高的客体写数据;
(2)简单完整性规则 (Simple Integrity Axiom): 表示完整性级别高的主体不能从完整性级别低的客体读取数据;
(3)调用属性规则 (Invocation Property): 表示一个完整性级别低的主体不能从级别高的客体调用程序或服务。
3.2.4 CWM模型
CWM模型(Clark-Wilson
Model)。将完整性目标、策略、机制融为一体,提出职责分离目标,应用完整性验证过程,实现了成型的事务处理机制,常用于银行系统。
CWM模型具有以下特征:
(1)包含主体、程序、客体三元素,主体只能通过程序访问客体。
(2)权限分离原则,功能可分为多主体,防止授权用户进行未授权修改。
(3)具有审计能力。
3.2.5 Chinese Wall模型
Chinese Wall模型,是一个混合策略模型,应用于多边安全系统,防止多安全域存在潜在的冲突。该模型为投资银行设计,常见于金融领域。
3.2.5.1 Chinese Wall模型工作原理
通过自主访问控制(DAC)选择安全域,通过强制访问控制(MAC)完成特定安全域内访问控制。
3.2.5.2 Chinese Wall模型的安全规则
(1)墙内客体可读取。
(2)不同利益冲突组客体可读取。
(3)访问其他公司客体和其他利益冲突组客体后,主体对客体写入受限。
四、信息安全整体架构设计 (WPDRRC 模型)
4.1 WPDRRC信息安全体系架构模型
WPDRRC(Waring/Protect/Detect/React/Restore/Counterattack)
信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型 。
WPDRRC是在PDRR(Protect/Detect/React/React/Restore)
信息安全体系模型的基础上前后增加了预警和反击功能。针对网络安全防护问题,美国曾提出了多个网络安全体系模型和架构,其中比较经典的包括PDRR模型、P2DR模型。
而 WPDRRC模型由中国提出。在PDRR模型 中,安全的概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,它是保护
(Protect)、 检测 (Detect)、 反应 (React)、 恢复 (Restore) 的有机结合,称为 PDRR模型
。PDRR模型把信息的安全保护作为基础,将保护视为活动过程,要用检测手段来发现安全漏洞,及时更正;同时采用应急响应措施对付各种入侵;在系统被入侵后,要采取相应的措施将系统恢复到正常状态,这样才能使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。
如下, WPDRRC模型示意:
WPDRRC模型有6个环节和3大要素 。
6个环节 包括:预警、保护、检测、响应、恢复和反击
,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
3大要素 包括:人员、策略和技术 。人员是核心,策略是桥梁,技术是保证,落实在WPDRRC 的6个环节的各个方面,将安全策
预警略变为安全现实。
这里,6个环节说明如下: 生信息内容
● W :
预警主要是指利用远程安全评估系统提供的模拟攻击技术来检查系统存在的、可能被利用的薄弱环节,收集和测试网络与信息的安全风险所在,并以直观的方式进行报告,提供解决方案的建议,在经过分析后,分解网络的风险变化趋势和严重风险点,从而有效降低网络的总体风险,保护关键业务和数据。
● P :
防护通常是通过采用成熟的信息安全技术及方法来实现网络与信息的安全。主要内容有加密机制,数字签名机制,访问控制机制,认证机制,信息隐藏和防火墙技术等。
● D :
检测通过检测和监控网络以及系统,来发现新的威胁和弱点,强制执行安全策略。在这个过程中采用入侵检测、恶意代码过滤等技术,形成动态检测的制度,奖励报告协调机制,提高检测的实时性。主要内容有入侵检测,系统脆弱性检测,数据完整性检测和攻击性检测等。
● R :
响应是指在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而把系统调整到安全状态。为此需要相应的报警、跟踪、处理系统,其中处理包括了封堵、隔离、报告等能力。主要内容有应急策略、应急机制、应急手段、入侵过程分析和安全状态评估等。
● R :
恢复灾难恢复系统是当前网络、数据、服务受到黑客攻击并遭到破坏或影响后,通过必要技术手段,在尽可能短的时间内使系统恢复正常。主要内容有容错、冗余、备份、替换、修复和恢复等。
● C : 反击是指采用一切可能的高新技术手段,侦察、提取计算机犯罪分子的作案线索与犯罪证据,形成强有力的取证能力和依法打击手段。
4.2 信息安全体系架构设计
通过对网络应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安全目标等方面开展安全体系架构的设计工作 。具体在安全控制系统,我们可以从
物理安全、系统安全、网络安全、应用安全和管理安全 等5个方面开展分析和设计工作。
- 物理安全(前提) :包括环境安全、设备安全、媒体安全。
- 系统安全(基础) :包括网络结构安全、操作系统安全、应用系统安全。
- 网络安全(关键) :包括访问控制、通信保密、入侵检测、网络安全扫描、防病毒。
- 应用安全 :包括资源共享、信息存储。
- 安全管理 :包括健全的体制、管理平台、人员安全防范意识。
五、网络安全架构设计
5.1 OSI 安全架构
OSI 定义了7层协议
,其中除第5层(会话层)外,每一层均能提供相应的安全服务。实际上,最适合配置安全服务的是在物理层、网络层、运输层及应用层上,其他层都不宜配置安全服务。
OSI开放系统互联安全体系的 5类安全服务 包括 鉴别、访问控制、数据机密性、数据完整性和抗抵赖性 。
如下,信息安全体系结构示意图:
如下,安全服务和安全机制的对应关系:
OSI 定义分层多点安全技术体系架构 ,也称为 深度防御安全技术体系架构 ,它通过以下 三种方式将防御能力分布至整个信息系统中 。
-
(1)多点技术防御
在对手可以从内部或外部多点攻击一个目标的前提下,多点技术防御通过对以下多个防御核心区域的防御达到抵御所有方式的攻击目的。
通过网络和基础设施,边界防御(流量过滤、控制、如前检测),计算环境等方式进行防御。
(1)网络和基础设施
。为了确保可用性,局域网和广域网需要进行保护以抵抗各种攻击,如拒绝服务攻击等。为了确保机密性和完整性,需要保护在这些网络上传送的信息以及流量的特征以防止非故意的泄露。
(2)边界 。为了抵御主动的网络攻击,边界需要提供更强的边界防御,例如流量过滤和控制以及入侵检测。
(3)计算环境 。为了抵御内部、近距离的分布攻击,主机和工作站需要提供足够的访问控制。 -
(2)分层技术防御
即使最好的可得到的信息保障产品也有弱点,其最终结果将使对手能找到一个可探查的脆弱性,一个有效的措施是在对手和目标间使用多个防御机制。为了减少这些攻击成功的可能性和对成功攻击的可承担性,每种机制应代表一种唯一的障碍并同时包括保护和检测方法。例如,在外部和内部边界同时使用嵌套的防火墙并配合以入侵检测就是分层技术防御的一个实例。
外部和内部边界使用嵌套防火墙,配合入侵检测进行防御。 -
(3)支撑性基础设施
支撑性基础设施为网络、边界和计算环境中信息保障机制运行基础的支撑性基础设施,包括公钥基础设施以及检测和响应基础设施。
使用公钥基础设施以及检测和响应基础设施进行防御。
(1)公钥基础设施
。提供一种通用的联合处理方式,以便安全地创建、分发和管理公钥证书和传统的对称密钥,使它们能够为网络、边界和计算环境提供安全服务。这些服务能够对发送者和接收者的完整性进行可靠验证,并可以避免在未获授权的情况下泄露和更改信息。公钥基础设施必须支持受控的互操作性,并与各用户团体所建立的安全策略保持一致。
(2)检测和响应基础设施
。检测和响应基础设施能够迅速检测并响应入侵行为。它也提供便于结合其他相关事件观察某个事件的“汇总”性能。另外,它也允许分析员识别潜在的行为模式或新的发展趋势。
5.2 认证框架
鉴权(Authentication)
的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别提供了实体声称其身份的保证,只有在主体和验证者的关系背景下,鉴别才是有意义的。鉴别有两种重要的关系背景:一是实体由申请者来代表,申请者与验证者之间存在着特定的通信关系(如实体鉴别);二是实体为验证者提供数据项来源。
鉴别的方式主要基于以下5种:
(1)已知的,如一个秘密的口令。
(2)拥有的,如 I C卡、令牌等。
(3)不改变的特性,如生物特征。
(4)相信可靠的第三方建立的鉴别(递推)。
(5)环境(如主机地址等)。
鉴别服务分为以下阶段 :安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验证阶段、停活阶段、重新激活阶段、取消安装阶段。
5.3 访问控制框架
当发起者请求对目标进行特殊访问时,访问控制管制设备(Access Control Enforcement
Facilities,AEF)就通知访问控制决策设备(Access Control Decision
Facilities,ADF),ADF可以根据上下文信息(包括发起者的位置、访问时间或使用中的特殊通信路径)以及可能还有以前判决中保留下来的访问控制决策信息(Access
Control Descision Information,ADI)做出允许或禁止发起者试图对目标进行访问的判决。
5.4 机密性框架
完整性服务目的 是 确保信息仅仅是对被授权者可用。
机密性机制 包括: 通过禁止访问提供机密性、通过加密提供机密性。
5.5 完整性框架
完整性服务目的 是 组织威胁或探测威胁,保护数据及其相关属性的完整性。
完整性服务分类 有: 未授权的数据创建、数据创建、数据删除、数据重放。
完整性机制类型 分为 阻止媒体访问与探测非授权修改两种。
5.6 抗抵赖框架
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C
C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C
C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
2960
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
