从 Linux 命令到 SOC 分析师：运维背景转行的 30 天实战指南（附 ELK 配置脚本）

从 Linux 命令到 SOC 分析师：运维背景转行的 30 天实战指南（附 ELK 配置脚本）

“每天用grep排查系统日志、用iptables配置防火墙，做了 3 年运维想转 SOC 分析师，却被‘威胁狩猎’‘日志关联分析’这些术语吓退 —— 其实你早已掌握 SOC 工作的 80% 基础能力，缺的只是‘安全视角的技能转化’和‘工具实战的落地方法’。”

SOC（安全运营中心）分析师的核心工作是 “从海量日志中发现攻击痕迹、响应安全事件”，而运维的日常工作正是日志分析与系统管控的最佳实践。本文用 30 天时间轴，带你把 Linux 命令变成漏洞排查工具，用 ELK 搭建企业级日志分析平台，最终产出能写入简历的实战成果，实现从 “运维工程师” 到 “SOC 分析师” 的转型。

一、转行认知：运维转 SOC 的 “3 大天然优势”（不用从零学）

很多运维觉得转 SOC 要重学安全理论，其实你的现有技能早已与 SOC 工作深度绑定，关键是换个视角用工具：

运维核心技能	SOC 分析师对应能力	转化逻辑（实战举例）
Linux 日志排查（grep/journalctl）	攻击痕迹初筛与定位	用grep “Failed password” /var/log/auth.log找暴力破解，比纯新手快 3 倍
防火墙配置（iptables/ufw）	攻击源封堵与应急处置	发现恶意 IP 后，用iptables -A INPUT -s 192.168.1.100 -j DROP快速封禁
系统监控（top/netstat）	异常行为识别	用 `netstat -anp
脚本自动化（Shell/Python）	安全工具开发与批量处置	编写 Shell 脚本批量提取日志中的攻击 IP，集成到 ELK 告警流程

核心认知：前 10 天不用碰复杂的 SIEM 平台，先用你熟悉的 Linux 命令完成 “攻击初筛”；后 20 天用 ELK 实现 “日志集中分析”，30 天就能形成 “发现 - 分析 - 处置 - 报告” 的完整 SOC 工作流。

二、第 1-10 天：Linux 命令变身 “安全分析利器”（基础实战）

SOC 分析师的日常始于日志，而 Linux 系统的/var/log目录就是攻击痕迹的 “黑匣子”。这 10 天聚焦 “用运维命令做安全排查”，每天掌握 1 个核心场景，附带可直接复制的命令模板。

1. 核心日志源速查（Day1-2）：先搞懂 “看什么日志”

运维熟悉的日志文件，正是 SOC 分析的核心数据源。重点记住 3 类安全相关日志：

• 认证日志：/var/log/auth.log（Debian/Ubuntu）或/var/log/secure（CentOS/RHEL），记录登录、sudo 操作等，暴力破解、权限滥用全在这；

• 系统日志：/var/log/messages或/var/log/syslog，记录内核事件、服务启停，可排查异常进程；

• 应用日志：Nginx（/var/log/nginx/access.log）、MySQL（/var/log/mysql/error.log），Web 攻击、数据库入侵全靠它。

实战命令：用journalctl快速筛选系统日志（适用于 systemd 系统）：

# 查看近1小时的认证日志，含时间戳
journalctl -u sshd --since "1 hour ago" --output=short-iso

# 筛选包含"Failed password"的日志，按IP统计失败次数（定位暴力破解源）
journalctl -u sshd | grep "Failed password" | awk '{print $11}' | sort | uniq -c | sort -nr

2. 攻击痕迹初筛（Day3-7）：5 类场景的命令实战

针对 SOC 高频分析场景，用运维命令快速定位异常，每个场景均附 “排查命令 + 安全解读”：

场景 1：SSH 暴力破解排查（最常见）

运维视角：登录失败可能是用户输错密码；

SOC 视角：短时间大量失败→暴力破解攻击。

实战命令集：

# 1. 查看近30分钟SSH登录失败记录
grep "Failed password" /var/log/auth.log | grep "$(date +%Y-%m-%d) $(date +%H | awk '{print $1-1}'):"

# 2. 提取攻击IP并统计次数（取TOP10）
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10

# 3. 封禁攻击IP（临时封堵，重启失效）
iptables -A INPUT -s 192.168.1.100 -j DROP

# 4. 永久封禁（写入iptables配置，Debian/Ubuntu）
echo "iptables -A INPUT -s 192.168.1.100 -j DROP" >> /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v4

场景 2：Web 攻击识别（SQL 注入 / XSS）

通过 Nginx 日志筛选异常请求，重点关注 4xx/5xx 状态码和特殊字符：

# 1. 统计HTTP状态码分布（突然增多的404/500可能是攻击）
awk '{print $9}' /var/log/nginx/access.log | sort | uniq -c | sort -nr

# 2. 筛选含SQL注入特征的请求（如union、select）
grep -iE "union|select|insert|delete|drop" /var/log/nginx/access.log

# 3. 提取攻击IP和请求路径（用于溯源）
grep -i "union" /var/log/nginx/access.log | awk '{print "IP:"$1,"Path:"$7}'

场景 3：异常进程与外联排查

恶意软件常通过异常进程建立外联，用ps和netstat定位：

# 1. 查看非标准端口的网络连接（排除80/443/22等常用端口）
netstat -anp | grep -v ":80\|:443\|:22" | grep ESTABLISHED

# 2. 查看进程对应的可执行文件路径（异常路径可能是恶意程序）
ps -ef | grep 12345  # 12345为异常进程PID

# 3. 查看进程的网络连接详情（定位外联IP）
lsof -p 12345 | grep IPv4

场景 4：系统账户异常排查

攻击者可能创建隐藏账户，用cat和awk检查 /etc/passwd：

# 1. 查看UID为0的账户（除root外均为异常）
awk -F: '$3==0 {print $1}' /etc/passwd

# 2. 查看近7天新增的用户（对比历史备份）
grep -E "^$(date -d '-7 days' +%b)" /var/log/auth.log | grep "new user"

# 3. 查看用户登录历史（有无非授权登录）
last | grep -v "still logged in"

场景 5：文件篡改检测

用md5sum对比关键文件的哈希值，发现未授权修改：

# 1. 预先生成关键文件哈希（如passwd、shadow）
md5sum /etc/passwd /etc/shadow > /root/file_hashes.txt

# 2. 定期校验（不一致则告警）
md5sum -c /root/file_hashes.txt 2>/dev/null | grep "FAILED"

3. 日志分析效率提升（Day8-10）：脚本自动化与工具辅助

运维擅长的脚本能力，能让 SOC 分析效率翻倍。这里提供 2 个可直接复用的 Shell 脚本：

脚本 1：SSH 暴力破解自动封禁脚本

#!/bin/bash
# 统计失败次数超过10次的IP
ATTACK_IPS=$(grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | awk '$1>10 {print $2}')

# 循环封禁IP
for IP in $ATTACK_IPS; do
  # 检查IP是否已封禁
  if ! iptables -C INPUT -s $IP -j DROP 2>/dev/null; then
    iptables -A INPUT -s $IP -j DROP
    echo "封禁攻击IP: $IP" >> /var/log/ip_block.log
  fi
done

使用方法：添加到 crontab，每 5 分钟执行一次：

*/5 * * * * /root/block_ssh_attackers.sh

脚本 2：日志关键字监控脚本

监控 Web 日志中的攻击特征，发现后立即告警：

#!/bin/bash
LOG_FILE="/var/log/nginx/access.log"
KEYWORDS="union|select|drop|eval|onerror"
ALERT_EMAIL="soc@company.com"

# 实时监控日志
tail -f $LOG_FILE | while read LINE; do
  if echo $LINE | grep -iE $KEYWORDS; then
    # 发送告警邮件
    echo "发现Web攻击痕迹: $LINE" | mail -s "Web攻击告警" $ALERT_EMAIL
  fi
done

三、第 11-25 天：ELK 搭建企业级日志分析平台（核心实战）

手动用命令分析单台服务器日志尚可，但企业级 SOC 需要集中化日志平台。这 15 天手把手教你搭建 ELK（Elasticsearch+Logstash+Kibana），附完整配置脚本，实现 “日志集中采集→结构化处理→可视化分析→自动告警”。

1. ELK 部署与基础配置（Day11-13）

环境准备

• 服务器配置：建议 4 核 8G 以上（ELasticsearch 对内存要求较高）；

• 系统：Ubuntu 22.04/CentOS 8；

• 安装顺序：Elasticsearch → Kibana → Logstash → Filebeat（轻量级日志采集器）。

核心配置脚本（以 Ubuntu 为例）

（1）Elasticsearch 配置（/etc/elasticsearch/elasticsearch.yml）

cluster.name: soc-log-cluster
node.name: es-node-1
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0  # 允许外部访问
http.port: 9200
discovery.type: single-node  # 单节点模式（生产环境需集群）

启动并验证：

systemctl start elasticsearch
curl http://localhost:9200  # 返回集群信息即成功

（2）Kibana 配置（/etc/kibana/kibana.yml）

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
i18n.locale: "zh-CN"  # 中文界面

启动并访问：

systemctl start kibana
# 浏览器访问 http://服务器IP:5601，首次登录需设置默认索引

（3）Filebeat 配置（日志采集，/etc/filebeat/filebeat.yml）

Filebeat 轻量且资源占用低，适合部署在业务服务器采集日志：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/auth.log  # 认证日志
    - /var/log/nginx/access.log  # Web日志
  fields:
    log_type: system  # 自定义日志类型
  fields_under_root: true

# 输出到Logstash（如需直接输出到ES可改output.elasticsearch）
output.logstash:
  hosts: ["logstash-server-ip:5044"]
  bulk_max_size: 5000  # 批量发送大小

（4）Logstash 配置（日志处理，/etc/logstash/conf.d/soc-log.conf）

Logstash 负责日志清洗、结构化，核心是filter模块的grok规则（提取关键字段）：

input {
  beats {
    port => 5044  # 接收Filebeat数据的端口
  }
}

filter {
  # 处理系统认证日志
  if [log_type] == "system" {
    grok {
      match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{HOSTNAME:hostname} %{DATA:process}\[%{NUMBER:pid}\]: %{GREEDYDATA:log_message}" }
    }
    # 提取SSH登录相关字段
    if "sshd" in [process] {
      grok {
        match => { "log_message" => "Failed password for %{DATA:user} from %{IP:src_ip} port %{NUMBER:port} ssh2" }
        add_tag => ["ssh_failed"]  # 打标签
      }
    }
    # 时间戳标准化
    date {
      match => ["timestamp", "ISO8601"]
      target => "@timestamp"
    }
  }

  # 处理Nginx Web日志
  if "nginx" in [source] {
    grok {
      match => { "message" => "%{IP:src_ip} - %{DATA:user} \[%{HTTPDATE:timestamp}\] \"%{WORD:method} %{URIPATHPARAM:path} HTTP/%{NUMBER:http_version}\" %{NUMBER:status_code} %{NUMBER:bytes} \"%{DATA:referer}\" \"%{DATA:user_agent}\"" }
    }
    date {
      match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"]
      target => "@timestamp"
    }
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "soc-logs-%{+YYYY.MM.dd}"  # 按天创建索引
  }
  stdout { codec => rubydebug }  # 控制台输出（调试用）
}

启动 Logstash：

systemctl start logstash

2. 日志可视化与告警配置（Day14-20）

（1）Kibana 可视化仪表盘制作

在 Kibana 的 “Visualize Library” 创建图表，组合成 SOC 专属仪表盘：

1. 登录失败统计：柱状图，X 轴为时间（每小时），Y 轴为登录失败次数；

2. 攻击 IP 地理分布：地图，基于src_ip的 GeoIP 解析（需安装 Elasticsearch 的 GeoIP 插件）；

3. Web 攻击类型分布：饼图，按攻击特征（union/select 等）分组；

4. 异常进程 TOP10：表格，显示进程名、PID、外联 IP。

实战技巧：用 Kibana 的 “Saved Queries” 保存常用查询，比如：

• SSH 暴力破解：tags:ssh_failed

• Web 攻击：status_code:404 AND path:union

（2）自动告警配置（ElastAlert）

ElastAlert 是开源告警工具，可基于 ELK 日志触发邮件 / 钉钉告警：

安装 ElastAlert

pip install elastalert
cp /usr/local/lib/python3.8/dist-packages/elastalert/example_rules/example_frequency.yaml /etc/elastalert/rules/ssh_attack_alert.yaml

告警规则配置（/etc/elastalert/rules/ssh_attack_alert.yaml）

name: "SSH暴力破解告警"
type: "frequency"  # 频率型告警
index: "soc-logs-*"  # 监控的索引
timeframe:
  minutes: 5  # 5分钟内
filter:
  - term: { tags: "ssh_failed" }  # 匹配SSH失败标签
  - range: { "@timestamp": { "gte": "now-5m" } }
threshold: 10  # 失败次数超过10次触发告警
alert:
  - "email"  # 邮件告警
  - "slack"  # 钉钉告警（需配置webhook）
email:
  - "soc@company.com"
smtp_host: "smtp.company.com"
smtp_port: 25
smtp_auth_file: "/etc/elastalert/smtp_auth.yaml"  # 邮件认证文件
slack_webhook_url: "https://oapi.dingtalk.com/robot/send?access_token=xxx"  # 钉钉机器人webhook
alert_text: "发现SSH暴力破解！攻击IP: {0}, 失败次数: {1}".format(
  get_first_value(event, "src_ip"), get_first_value(event, "_count")
)

启动 ElastAlert

elastalert --config /etc/elastalert/config.yaml --rule /etc/elastalert/rules/ssh_attack_alert.yaml

3. 索引生命周期管理（ILM）配置（Day21-25）

日志量会随时间激增，用 Elasticsearch 的 ILM 自动管理索引生命周期（滚动、归档、删除）：

（1）创建 ILM 策略（Kibana Dev Tools）

PUT _ilm/policy/soc-logs-policy
{
  "policy": {
    "phases": {
      "hot": {  # 热阶段：可写入、可查询
        "actions": {
          "rollover": {
            "max_age": "1d",  # 1天滚动一次
            "max_size": "50gb"  # 达到50GB也滚动
          }
        }
      },
      "warm": {  # 温阶段：只读，压缩存储
        "min_age": "7d",
        "actions": {
          "shrink": { "number_of_shards": 1 },
          "forcemerge": { "max_num_segments": 1 }
        }
      },
      "delete": {  # 删阶段：自动删除
        "min_age": "30d",
        "actions": { "delete": {} }
      }
    }
  }
}

（2）创建索引模板（关联 ILM 策略）

PUT /_template/soc-logs-template
{
  "index_patterns": ["soc-logs-*"],  # 匹配所有SOC日志索引
  "settings": {
    "index.lifecycle.name": "soc-logs-policy",  # 关联ILM策略
    "number_of_shards": 3,
    "number_of_replicas": 1
  },
  "mappings": {
    "properties": {
      "src_ip": { "type": "ip" },
      "status_code": { "type": "integer" },
      "@timestamp": { "type": "date" }
    }
  }
}

四、第 26-30 天：SOC 实战场景演练（成果输出）

用 5 天时间模拟 3 个企业级 SOC 事件，从 “发现到处置” 全流程实操，产出可写入简历的项目成果。

场景 1：SSH 暴力破解应急响应（Day26-27）

（1）发现阶段

• 触发 ElastAlert 告警：5 分钟内同一 IP 登录失败 15 次；

• 用 Kibana 查询详情：tags:ssh_failed AND src_ip:192.168.1.100，确认攻击时间、目标账户。

（2）分析阶段

• 用 Linux 命令检查攻击 IP 是否已成功登录：grep “192.168.1.100” /var/log/auth.log | grep “Accepted”；

• 查看该 IP 的其他操作：grep “192.168.1.100” /var/log/syslog，确认无异常进程创建。

（3）处置阶段

1. 封禁攻击 IP：iptables -A INPUT -s 192.168.1.100 -j DROP；

2. 重置可能被攻击的账户密码：passwd testuser；

3. 加固 SSH 配置：禁用密码登录，改用密钥（/etc/ssh/sshd_config中PasswordAuthentication no）。

（4）报告输出

撰写《SSH 暴力破解事件处置报告》，包含：

• 事件摘要：攻击时间、IP、目标、结果；

• 处置步骤：封禁 IP、密码重置、配置加固；

• 预防建议：开启 SSH 密钥登录、设置登录失败锁定。

场景 2：Web 攻击（SQL 注入）溯源（Day28-29）

（1）发现阶段

• Kibana 仪表盘显示：某 IP 访问/login.php?username=admin’ OR 1=1–，状态码 200；

• 用命令确认：grep “OR 1=1” /var/log/nginx/access.log | grep “192.168.2.200”。

（2）分析阶段

1. 查看应用日志：grep “192.168.2.200” /var/log/php-fpm/error.log，发现 SQL 语法错误；

2. 检查数据库日志：grep “192.168.2.200” /var/log/mysql/error.log，确认攻击未成功（因应用已做参数化查询）。

（3）处置阶段

1. 在 WAF 中封禁攻击 IP：添加 “192.168.2.200” 到黑名单；

2. 优化应用防护：对所有用户输入添加过滤（复用前文 XSS 过滤逻辑，扩展 SQL 关键字过滤）；

3. 配置 Kibana 告警：新增 “SQL 注入特征” 监控规则。

场景 3：勒索病毒应急响应（Day30）

（1）发现阶段

• 运维监控发现：服务器 CPU 占用突升，多个文件被加密（后缀.xxx）；

• 日志排查：grep “encrypt” /var/log/syslog，发现恶意进程cryptor。

（2）分析阶段

1. 定位恶意进程：ps -ef | grep cryptor，获取 PID 4567；

2. 查看外联 IP：lsof -p 4567 | grep IPv4，发现连接到45.67.89.10；

3. 确认感染范围：find / -name “*.xxx” | grep -v “/proc”，统计加密文件数量。

（3）处置阶段

1. 终止恶意进程：kill -9 4567；

2. 断开网络连接：iptables -A OUTPUT -d 45.67.89.10 -j DROP；

3. 恢复数据：从备份恢复加密文件；

4. 溯源分析：通过 ELK 关联日志，确认攻击入口为未修复的 Log4j 漏洞。

五、简历与面试：运维转 SOC 的 “差异化优势” 打造

1. 简历项目经验模板（STAR 法则）

**项目名称**：企业级ELK日志分析平台搭建与SOC运营  
**角色**：运维/安全负责人（独立完成）  
**背景（S）**：公司5台业务服务器日志分散，依赖手动排查，攻击事件发现延迟超24小时，无告警机制；  
**任务（T）**：搭建集中化日志平台，实现攻击痕迹自动识别、实时告警，建立SOC应急响应流程；  
**行动（A）**：  
1. 部署ELK+Filebeat+ElastAlert：编写Logstash grok规则解析系统/Web日志，配置GeoIP插件实现攻击IP定位；  
2. 开发自动化工具：编写Shell脚本实现SSH暴力破解IP自动封禁，集成到ELK告警流程；  
3. 建立响应流程：制定《SSH攻击处置SOP》《Web攻击溯源指南》，包含Linux命令排查步骤与ELK查询规则；  
4. 优化日志管理：配置ILM策略，实现日志按天滚动、30天自动删除，节省60%存储成本；  
**结果（R）**：  
1. 攻击事件发现延迟从24小时降至5分钟，成功拦截3次SSH暴力破解、2次SQL注入攻击；  
2. 输出《SOC应急响应手册》，被纳入公司安全制度，团队应急效率提升70%；  
3. 平台稳定运行3个月，处理日志超100GB，无数据丢失或漏告警情况。

2. 面试高频问题与回答模板

问题 1：“你没有 SOC 经验，为什么能胜任？”

回答模板：

“虽然我之前是运维，但日常工作已覆盖 SOC 核心能力：① 日志分析：每天用 grep/awk 排查系统日志，曾通过 auth.log 发现并封堵 3 个暴力破解 IP；② 工具实战：独立搭建 ELK 平台，编写 Logstash 过滤规则和 ElastAlert 告警脚本，实现攻击自动监控；③ 应急处置：参与过勒索病毒响应，从进程查杀到数据恢复全程实操。这些经验能让我快速上手 SOC 的日志分析与事件响应工作，且运维背景让我更懂系统底层，排查问题更高效。”

问题 2：“如何用 Linux 命令排查 Web 攻击？”

回答模板：

“我会分 3 步排查：① 先统计 HTTP 状态码，用awk ‘{print $9}’ access.log | sort | uniq -c找异常 4xx/5xx；② 筛选攻击特征，用grep -iE “union|select|onerror” access.log定位 SQL 注入 / XSS；③ 提取关键信息，用awk '{print “IP:”$1,“Path:”$7}'整理攻击 IP 和请求路径，再结合 ELK 关联分析攻击链。比如上周我用这方法发现一个攻击 IP 在 10 分钟内发送了 20 次 union 查询，立即用 iptables 封禁并告警。”

六、避坑指南：运维转 SOC 最易踩的 3 个雷

1. 雷区 1：只懂命令，不懂 “日志关联分析”

很多运维能排查单条日志，但 SOC 需要跨日志源关联。比如 “防火墙日志发现 DDoS 攻击 IP”，需关联服务器日志确认是否导致服务中断。

避坑方案：

• 用 Kibana 的 “Discover” 功能，按src_ip关联 “防火墙日志 + 服务器日志 + Web 日志”；

• 举例：攻击 IP 192.168.1.100 在防火墙日志中被拦截，同时 Web 日志显示其发起过 SQL 注入，说明是多维度攻击。

2. 雷区 2：过度依赖工具，忽视基础命令

ELK 虽强大，但服务器离线或 ELK 故障时，Linux 命令是 “最后防线”。比如 ELK 崩了，用tail -f /var/log/auth.log仍能实时监控登录异常。

避坑方案：

• 制定 “双轨排查流程”：日常用 ELK 批量分析，应急时用命令快速定位；

• 常备命令清单：把本文的攻击排查命令整理成文档，贴在桌面。

3. 雷区 3：只关注攻击发现，不重视处置闭环

SOC 的核心是 “解决问题”，而非 “发现问题”。很多新人发现攻击 IP 后只封禁，不分析攻击入口，导致同一漏洞被反复利用。

避坑方案：

• 每个事件都要填 “处置闭环表”：包含 “发现→分析→处置→加固→复盘”5 步；

• 举例：封禁 SSH 攻击 IP 后，需检查 SSH 配置是否有漏洞（如密码太简单），并推动全公司服务器加固。

七、免费资源包：运维转 SOC 必备工具与脚本

关注我的 CSDN 账号，私信回复 “SOC 入门”，领取：

1. 配置脚本集：ELK+Filebeat+ElastAlert 完整配置文件（含注释，直接复用）；

2. 命令清单：《SOC 常用 Linux 命令速查表》（5 类场景，20 条核心命令）；

3. 报告模板：《SOC 应急响应报告模板》《攻击处置 SOP 模板》；

4. 靶场资源：Docker 搭建的 “SSH 暴力破解 + Web 攻击” 测试环境，用于 ELK 演练。

最后：你的运维经验，正是 SOC 最缺的 “实战能力”

企业招 SOC 分析师，不是要 “只会背 OWASP Top 10 的理论家”，而是要 “懂系统、能排查、会落地的实战派”。你熟悉 Linux 内核日志，能快速定位内核级攻击；你懂防火墙配置，能在发现攻击后立即封堵；你写过自动化脚本，能把重复的排查工作变成一键操作 —— 这些都是纯安全背景新人不具备的优势。

为了帮助大家更好的塑造自己，成功转型，我给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂这些资料！

网络安全/黑客零基础入门

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

点击领取 《网络安全&黑客&入门进阶学习资源包》

本文转自 https://blog.csdn.net/wangluo12138/article/details/145676049?ops_request_misc=elastic_search_misc&request_id=cbcee65c9bb259e44917c41cd250618d&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2_alltop_positive~default-1-145676049-null-null.142^v102pc_search_result_base3&utm_term=Web%E5%AE%89%E5%85%A8%E5%85%A5%E9%97%A8&spm=1018.2226.3001.4187，如有侵权，请联系删除。