从安全测试小白到网络安全大佬的成长之路

最新推荐文章于 2024-07-13 10:45:47 发布
最新推荐文章于 2024-07-13 10:45:47 发布
阅读量688 收藏 7
点赞数 6
分类专栏: Linux 文章标签: linux centos ubuntu 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xueshenlaila/article/details/118147102
版权
本文分享了安全测试工程师从入门到精通的成长历程,重点介绍了安全测试的定义和重要性。针对小白,建议从Web安全入手,列举了需要学习的Web安全基础知识,包括系统操作、数据库、漏洞原理、工具使用、框架了解、Linux渗透等,并强调了信息收集和基础编程语言的重要性。
摘要由CSDN通过智能技术生成

文章目录

前言

最近看到很多的安全小白在询问如何去学习安全,如何去入手安全测试等问题。突然有感而发,想起来自己当时从小白一步一步走向大佬的成长之路。

随着因特网的发展和网络经济的兴起, 越来越多的企业将服务或交易平台放到了互联网上, 而且这些网络应用服务和企业的营收关联得也更紧密,甚至与企业的命运休戚相关, 但这些暴露在网上的资源往往防御能力比较薄弱, 加大硬件的投入并不能显著改善企业的安全水平, 在如此的瓶颈之下,企业对懂安全测试的安全工程师需求也越来越迫切,于是安全工程师的薪水也水涨船高。

一、安全测试是什么?

  1. 安全测试 (Penetration Test, 简称 Pen Test) 是通过模拟恶意Hacker的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。这里需要注意,核心是测试,不是攻击也不是防御。它是一个过程,不是一个工具,也不是一个技巧或知识点。想要理解安全测试,就需要从“过程”的角度去展开一个维度,再从一个维度向其他维度去扩展。

  2. 作为拥有着10年经验的安全测试工程师,一路也是从小白历经磨难成长起来的我,给现在的新手小白一些建议。渗透安全的范围其实要学习的东西很广泛的,比如系统安

最低0.47元/天 解锁文章
极客事纪
关注
专栏目录
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
热门推荐
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
小白入坑安全测试指南
weixin_47767605的博客
05-13 792
原创 AttackCTF 乌云白帽子 乌云白帽子 微信号:AttackCTF 作为小白该如何踏入 Web 安全这个坑呢?我的经历是,兴趣所在。我是野路子,全靠兴趣来自学。 目前Web 安全如果要讲入门,要求并不高,两三天就能入门,而我也仅在入门级别。本人有幸接触这个比较早,最初是在10年还是09年来接触到一份网 Web 渗透课,后沉迷于此。 玩的第一个靶机是 dedecms5.7 最新 sql 注射漏洞利用,当时并不懂什么技术性的东西。然后一直没怎么学过,学习资源有限也就停...
安全测试
记录小白的成长之路
02-24 381
安全测试定义: 安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。 1、攻击类: SQL注入:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 Xss攻击 跨站脚本攻击(Cross S...
【全网最全】Web安全渗透详细教程2024年最新版+学习线路+资料分享
最新发布
wly55690的博客
07-13 638
Web安全是指保护Web应用程序和Web服务器免受恶意攻击和未经授权访问的一系列技术、措施和最佳实践。Web安全是确保Web应用程序和Web服务器能够正常运行、保持数据完整性、保护用户隐私和信息安全的重要方面。认证和授权:确保只有授权用户能够访问应用程序和资源,并根据用户角色分配不同的权限。输入验证和过滤:确保所有的输入都是合法的,并防止用户输入包含恶意代码的数据。数据保护:加密存储和传输数据,保护数据隐私。防止跨站点脚本攻击(XSS):防止攻击者通过注入恶意脚本来篡改网页内容和窃取用户数据。
安全界行业大佬推荐
banying4311的博客
08-06 494
e安在线 关注「e安在线」一站了解等级保护2.0、工业互联网安全,给你看得见的职业成长! 我们致力于等级保护、工业互联网安全人才的培养,主要业务涵盖:等级保护CIIPT(基础类、云计算安全、可信计算)培训、CISP/CISSP、CISWA、信息系统审计师ISA认证以及云计算、大数据、工控安全、网络安全特色课程等;同时为行业用户提供网络安全实训平台和攻防竞技平台,提供全面而...
渗透测试成长之路---前端安全
weixin_43727063的博客
04-21 623
前端安全 职业名词 解释 payload 攻击代码 EXP 完整的漏洞利用工具 POC 观点验证程序。运行这个程序可以得出预期的结果 GPC GET POST COOKIE 1、跨站脚本攻击 ​ 跨站点脚本(XSS) 是指客户端代码注入攻击,攻击者在合法网站或web应用程序中执行恶意脚本。当web应用程序在其生成的输出中使用未经验证或未编码的用户输入时,就会发生XSS 1.1、Web架构 Web架构包括: ​ 服务端: ​ Web容器 Apache
Python测试转岗网络安全测试,挑战年薪30W+
人生不怕起点低,就怕没追求
02-16 658
有许多人问我安全测试前景怎么样? 目前,网络安全市场可大致分为17大安全领域、59个细分领域。不同领域大类核心技术相距甚远,因此绝大多数企业都选择专注于几个细分市场上。产品终端使用者主要以政企、军队、运营商、金融、医疗、教育、交通、制造业和能源行业为主。 近年来网络安全事件呈现进一步升级趋势,国家级关键信息泄露事件层出不穷,如美国国防部、德国核电站、印度外交部以及以色列电力局相继遭到网络攻击,威胁国家安全。面对网络攻击智能化、自动化、武器化蔓延的趋势,各国都在强化网络安全部署。2017年8月美国将网络司令.
CISP-CSE认证心路历程,小白分享如何学习云安全
qq_28925747的博客
05-05 638
CISP-CSE是CISP系列的一个关于云计算安全的认证。CISP系列的认证,在国内,还是很有口碑的。这个认证培训,也是迎合了云计算的兴起和发展,对于云计算或云安全感兴趣的人以及从业者来说,还是很有价值的。我利用空闲时间线上参加了CISP-CSE培训课,并顺利通过了认证考试,虽然过程很辛苦,但是自我感觉收获颇丰。下面和诸位分享一下自己的学习、考证经验。 一是,通过培训,熟悉了云计算体系架构及云计算关键技术。 云计算,本质上来说,就是一种服务,或者是资源共享方式。在早期计算、存储、带宽资源比较贫瘠的时候,
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
软件测试VS网络安全渗透测试,聊聊软测转网安渗透测试那些事儿
瓦罗兰特顶级C位的博客
03-07 855
听到很多朋友吐槽,搞软测好几年了,年纪一直在涨,工资却固执的停滞不前。而且越来越觉得力不从心了,技术能力遇到了瓶颈。这个时候,不少人已经开始在考虑另谋出路了,这里聊聊软件测试转网络安全渗透测试的那些事儿。
安全测试学习笔记-安全测试面面观
卑微小厉的博客
05-04 544
五一期间学习了钉钉的网络课程-安全测试的相关课程,将自己学习的笔记整理分享给大家,既是分享也是对自己学习笔记的整理和复习,一石三鸟。 信息安全 机密性(confidentiality):指只有授权用户可以获取信息。 完整性(integrity):指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。 可用性(availability):指合法用户对信息和资源的使用不会被不正...
软件测试的基本流程
weixin_33712881的博客
12-03 302
软件测试的基本流程(重点) 测试需求分析阶段:阅读需求,理解需求,主要就是对业务的学习,分析需求点,参与需求评审会议 测试计划阶段:主要任务就是编写测试计划,参考软件需求规格说明书,项目总体计划,内容包括测试范围(来自需求文档),进度安排,人力物力的分配,整体测试策略的制定。风险评估与规避措施有一个制定。 测试设计阶段:主要是编写测试用例,会参考需求文档(原型图),概要设计,详细设计等文...
CSDN前10大佬
xumingyang0的博客
02-22 1159
转自
关于网络安全和渗透大佬
silencediors的博客
05-12 1259
一转眼从实习到做安全行业已经5年了。从一开始的安全产品项目实施做到安全服务。今天晚上发生的一件事却让我想写一篇博客勉励自己。 群里讨论了一个有关内网客户端增加nc工具影响不影响安全性的问题。本小弟弟说了一句:有,增加了反弹shell的风险。 结果两位“渗透大佬”说话了:反弹shell有N种方法,nc只是一个网络工具而已。后续继续开始各种表演,遂没理会了。 想说个事,照这么说,口令不弱我也有N种方法破,所以弱口令不是安全风险,不开远程桌面3389我也有N种方法拿到shell之后转发开到远程桌面,所以开3389
浅谈测试小白到测试大牛的成长历程(分四个境界)
weixin_67553250的博客
11-07 981
如何看待不断成长“昨夜西风凋碧树,独上高楼,望尽天涯路”,此第一境也;“衣带渐宽终不悔,为伊消得人憔悴”,此第二境也;“众里寻他千百度,蓦然回首,那人正在灯火阑珊处”,此第三境也;我个人保持不断成长的经历,总结下来,我将它划为下面四个阶段,可以分别用几个关键词概括。这些技能将帮助测试人员在行业中获得非常高的价值。特别是对所有最新的自动化工具以及CI/CD工具(如Jenkins或GitLab)都有适当的了解,那么你不仅将成为团队中有价值的资源,而且还将成为行业中有价值的资源。
2023年为什么越来越多的网工运维/测试转行网络安全
瓦罗兰特顶级C位的博客
03-08 580
最近越来越多的网工运维小伙伴都在吐槽:干网工、运维多年,薪资还是5.6K,技术也遇瓶颈上不去,考虑转岗或者转行。
黑客“借刀杀人”,阿里 14 年经验安全大佬教你如何防御 DDoS 攻击!
CSDN资讯
04-04 3312
【CSDN 编者按】DDoS 攻击近几年来非常常见,许多知名的平台网站都遭遇过。当应用层 DDoS 攻击当前已经是最常见的攻击类型之时,对于程序员而言,有哪些必须掌握的 DDoS 攻击...
CTF比赛指南:从入门到成长
CTF(Capture The Flag),中文一般译作夺旗赛,是网络安全领域中技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,是目前较流行的网络安全赛事。 CTF吸引人的地方在于,可以学到很多东西,比如最新的...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值