我敢说,现在网上90%的文章都没有把网络安全该学的东西讲清楚。
为什么?因为全网更多的都是在讲如何去渗透和公鸡,却没有把网安最注重的防御讲明白。
老话说得好:“攻击,是为了更好的防御。”如果连初衷都忘了,网络只会越来越不安全,谈何网络安全!
于是最近我把网络安全的攻守技术做了整理,结合我自己多年来的经验,写成这篇文章,从入门到进阶的该学哪些东西,我都会讲清楚,这应该是全网最新最全的白帽子黑客技术了。
按照业界的惯例,喜欢分红蓝对抗,那么我也分红蓝,把攻守技术给大家讲明白。
1.第一阶段:基础入门–红队
红队的任务是攻击,这应该是大家最喜欢的黑客技术了。
作为新手,入门应该学习哪些东西?
- 网络安全(保密法等等,属于软实力,这方面我就不细说了)
- 渗透测试基础(具体技术如下:)
什么是渗透测试?
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,是指渗透人员在不同的位置利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。
网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题
那么渗透测试该学哪些东西?我给大家列举一下:
- 网络基础
- 操作系统基础
操作系统肯定要熟悉Linux,不会Linux的白帽子都只能算脚本小子。
- WEB安全基础
WEB更多指的是网站,这方面是入手比较适合的。
(1)什么是Web漏洞?
通俗讲指网站程序上的漏洞。WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。
(2)渗透测试工具
网站方面的渗透测试工具起码得掌握这几个:
- 数据库基础
什么是数据库?可以理解为指的是存储数据的软件,要掌握的东西是Excel MySQL、Oracle或SQLServer。
- 编程语言
编程语言目前学2个就可以了,一个是python,一个是PHP。前者实现功能方便快捷,后者是网站搭建比较惯用的。
这2个语言学点基础的就可以了,比如函数、字符串、字典、面向对象、模块等等。
- CTF比赛
学到了这里,你的技术就已经算入门了,可以去试试打CTF比赛了。
每年有大大小小几百场网络安全攻防演习比赛,比赛大部分都设有奖金,奖金从3000到 100000不等。如HVV、网鼎杯、全国大学生网络安全精英赛、湖湘杯、粤盾杯、强网杯、天府杯等等。
全国每年有上五十场CTF比赛,比赛全部都设有奖金,奖金从4000到200000不等,并且 还会颁发具有当地教育部门的证书。
路给大家指明白了,如果你没有学习资源的话,我这边有一些私藏的干货,从入门到进阶的视频和技术文档都有,需要的话可以点击后方蓝色字体领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第二阶段:技术进阶–红队
网络安全红队技术的进阶的重点在漏洞和注入方面,应该掌握以下几个:
-
弱口令与口令爆破(弱口令指的是简单的密码,口令爆破指的是密码破解)
-
XSS漏洞
-
CSRF漏洞
-
SSRF
-
XXE漏洞
- SQL注入
- 任意文件操作漏洞
- 业务逻辑漏洞
如果你的技术能到第二阶段这里,那么去外面找个年薪25K以上的网安工作问题不大,可以算得上是一个厉害的白帽子黑客了。
红队的技术还没有写完,但篇幅有限,下一篇文章我来专门讲红队的高阶提升,比如说内网渗透和恶意代码之类的。
当然了,后面我还会继续更新蓝队的技术,朋友们如果对网络安全/白帽子感兴趣的话,可以关注我一下。
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
阶段一:基础入门
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完年薪15w+没有问题
阶段二:技术进阶(到了这一步你才算入门)
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
阶段四:蓝队课程
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容可在文章后方领取。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
或者扫描下方csdn官方合作二维码获取哦!