之所以写这篇文章呢,是觉得大时代的发展,我们这个专业越来越受到重视了,所以,阿鑫也想以自己的一些拙见,能帮到想入门的朋友
1.关于网上的培训
如果你想快速获得知识,培训无疑是最快最有效的捷径,但是我不建议大家去,第一.讲的东西很肤浅,自学很快的。第二.价格很高.第三.讲师讲的终是他的理解,你无法有自己学的那么深刻,导致后面学的东西无法迭代已经适应新的东西,人话总结,不管是web,还是内网,还是代码审计,ctf,都他妈不要去培训。
2.自学
这是很难的,你才入门一个方向,什么都不知道,什么都想学,但是又不知道花时间去学习什么,学了有没有用,就算有用,我他妈怎么知道我学的怎么样。我一个一个说
花时间去学习什么?
要回答这个问题,我们要大致清楚网络安全&渗透有哪些方向,举个列子
比如我想学习网络攻防,那么我需要了解web常见的一些漏洞,比如sql注入,xss漏洞,ssrf漏洞,还要掌握信息收集对吧,还有一些工具的使用对吧,比如burpsuit,sqlmap,xray等工具这是最最基础的。如果想要进一步提高,可能需要掌握一些基础的代码,比如php执行命令的代码被禁用了怎么绕,php的一些反序列化,简单的代码分析,审计。漏洞的深度利用,比如上传怎么绕过,waf怎么对抗,最新出现的漏洞的复现,拥有渗透最核心的思路,在基础漏洞上不断变化。如果还想继续提高,需要拥有足够的经验,看见陌生的cms推测是有xxx二次改