自学黑客(网络安全)
前言:想自学网络安全(黑客技术)起首你得了解什么是网络安全!什么是黑客!
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个及格的网络安全工程师,应该做到攻守兼备,究竟知己知彼,才能百战百胜。
https://img-blog.csdnimg.cn/direct/04fa0c60f2dd4129acecdf83d60744e1.png
一、自学网络安全学习的误区和陷阱
1.不要试图先成为一名程序员(以编程为基础的学习)再开始学习
举动:从编程开始把握,前端后端、通讯协议、什么都学。
缺点:花费时间太长、实际向安全过渡后可用到的关键知识并不多。
2.不要把深度学习作为入家世一课
很多人都是冲着要把网络安全学勤学踏实来的,于是就很容易用力过猛,陷入一个误区:
就是把所有的内容都要举行深度学习,但是把深度学习作为网络安全第一课不是个好主意。
缘故原由如下:
【1】深度学习的黑箱性更加明显,很容易学的囫囵吞枣。
【2】深度学习对自身要求高,不恰当自学,很容易走进死胡同。
3.以黑客技能、兴趣为方向的自学误区:
举动:疯狂搜索安全教程、参加各种小圈子,逢资源就下,逢视频就看,只要是黑客相关的。
缺点: 就算在考虑资源质量后的情况下,能学习到的知识点也非常分散,重复性极强。
代码看不懂、讲解听不明确,一知半解的情况时而发生。
在花费大量时间明确后,才发现这个视频讲的内容其实和自己看的其他知识点是一样的。
4.不要收集过多的资料
网上有很多关于网络安全的学习资料,动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”,一下子购买十几本书,或者收藏几十个视频。
网上的学习资料很多重复性都极高而且大多数的内容都照旧几年前没有更新。在入门期间发起“小而精”的选择材料,下面我会保举一些自认为对小白还不错的学习资源,耐心往下看
二、学习网络安全的一些前期预备
1.硬件选择
经常会问我“学习网络安全必要设置很高的电脑吗?”答案是否定的,黑客用的电脑,不必要什么高的设置,只要稳定就行.由于黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对举行的,以是电脑能使用到最佳状态!以是,不要打着学习的名义重新购买呆板...
2.软件选择
很多人会纠结学习黑客到底是用Linux照旧Windows或者是Mac系统,Linux固然看着很酷炫,但是对于新人入门并不友好。Windows系统一样可以用捏造机装靶机来举行学习。
至于编程语言,首推Python,由于其精良的拓展支持性。固然现在市面上很多网站都是PHP的开发的,以是选择PHP也是可以的。其他语言还包括C++、Java...
很多朋友会问是不是要学习所有的语言呢?答案是否定的!引用我上面的一句话:学习编程只是工具不是目的,我们的目标不是成为程序员。
(这里额外提一句,学习编程固然不能带你入门,但是却能决定你能在网络安全这条路上到底能走多远,以是保举大家自学一些基础编程的知识。
3.语言本领
我们知道盘算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一样平常必要一个星期的时间,在这个时间差上漏洞大概都修补了。而且如果不理解一些专业名词,在与其他黑客交流技术或者经验时也会有障碍,以是必要一定量的英文和黑客专业名词(不必要特别精通,但是要能看懂基础的)。
好比说:肉鸡、挂马、shell、WebShell等
三、网络安全学习路线
如果你真的想通过自学的方式入门web安全的话,那发起你看看下面这个学习路线图,具体到每个知识点学多久,怎么学,自学时间共计半年左右,亲测有效(文末有惊喜):
1、Web安全相关概念(2周)
熟悉根本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。 通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)举行Google/SecWiki; 阅读《精通脚本黑客》,固然很旧也有错误,但是入门照旧可以的; 看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程 等);
2、熟悉渗透相关工具(3周)
熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。 了解该类工具的用途和使用场景,先用软件名字Google/SecWiki; 下载无后门版的这些软件举行安装; 学习并举行使用,具体课本可以在SecWiki上搜索,例如:Brup的教程、sqlmap; 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;
3、渗透实战操作(5周)
把握渗透的整个阶段并能够独立渗透小型站点。 网上找渗透视频看并思考此中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞使用等等); 自己找站点/搭建测试环境举行测试,记住请隐藏好你自己; 思考渗透主要分为几个阶段,每个阶段必要做那些工作,例如这个:PTES渗透测试执行尺度; 研究SQL注入的种类、注入原理、手动注入本领; 研究文件上传的原理,如何举行截断、双重后缀诱骗(IIS、PHP)、解析漏洞使用(IIS、Nignix、Apache)等,参照:上传攻击框架; 研究XSS形成的原理和种类,具体学习方法可以Google/SecWiki,可以参考:XSS; 研究Windows/Linux提权的方法和具体使用,可以参考:提权; 可以参考: 开源渗透测试脆弱系统;
4、关注安全圈动态(1周)
关注安全圈的最新漏洞、安全事件与技术文章。 通过SecWiki浏览逐日的安全技术文章/事件; 通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),每天抽时间刷一下; 通过feedly/鲜果订阅国表里安全技术博客(不要仅限于国内,平常多注意积累),没有订阅源的可以看一下SecWiki的聚合栏目; 养成习惯,每天自动提交安全技术文章链接到SecWiki举行积淀; 多关注下最新漏洞列表,保举几个:exploit-db、CVE中文库、Wooyun等,遇到公开的漏洞都去实践下。 关注国内国际上的安全会议的议题或者录像,保举SecWiki-Conference。
5、熟悉Windows/Kali Linux(3周)
学习Windows/Kali Linux根本命令、常用工具; 熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等; 熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等; 熟悉Kali Linux系统下的常用工具,可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等; 熟悉metasploit工具,可以参考SecWiki、《Metasploit渗透测试指南》。
6、服务器安全设置(3周)
学习服务器环境设置,并能通过思考发现设置存在的安全问题。 Windows2003/2008环境下的IIS设置,特别注意设置安全和运行权限,可以参考:SecWiki-设置; Linux环境下的LAMP的安全设置,主要考虑运行权限、跨目次、文件夹权限等,可以参考:SecWiki-设置; 长途系统加固,限制用户名和口令登岸,通过iptables限制端口; 设置软件Waf加强系统安全,在服务器设置mod_security等系统,拜见SecWiki-ModSecurity; 通过Nessus软件对设置环境举行安全检测,发现未知安全威胁。
7、脚本编程学习(4周)
选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库举行编程学习。 搭建开发环境和选择IDE,PHP环境保举Wamp和XAMPP,IDE强烈保举Sublime,一些Sublime的本领:SecWiki-Sublime; Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,保举《Python核心编程》,不要看完; 用Python编写漏洞的exp,然后写一个简单的网络爬虫,可拜见SecWiki-爬虫、视频; PHP根本语法学习并誊写一个简单的博客系统,拜见《PHP与MySQL程序计划(第4版)》、视频; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选); 了解Bootstrap的布局或者CSS,可以参考:SecWiki-Bootstrap;
四、补全知识框架(学习内容)
在整理好自己的知识框架,知道该怎么学习之后,下一步就是往框架里面添补内容了。 此时我们的选择也可以很多,好比CSDN,好比知乎,再好比B站,都有很多人在分享自己的学习资料,但我觉得这里存在的很大一个问题就是不连贯、不完善,大部门免费分享的教程,都是东一块西一块,前言不搭后语,学着学着就蒙了,这是我自学之后的切身感受。
https://img-blog.csdnimg.cn/direct/26ed5786e2614f5baddcf492d0a9cfe3.jpeg
点赞收藏评论区留言“已关注 求 ”!都可以分享给大家!大家注意看背景消息就行!
https://img-blog.csdnimg.cn/direct/0a32ee3ba0ef4e8986a5ac31c5a834de.png
https://img-blog.csdnimg.cn/direct/9ca2d00c18874a37a23c28b9b27d6445.png
给小伙伴们的意见是想清晰,自学网络安全没有捷径,相比而言系统的网络安满是最节省成本的方式,由于能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,固然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
点赞收藏评论区留言“已关注 求 ”!都可以分享给大家!大家注意看背景消息就行!
五、网络安全远景
人才需求量很大的,市场空缺大,像物联网网应用的遍及、5G的遍及等,都会增长网络安全岗位的需求。
从恒久来看,网络安全只会越来越火,智能学科的崛起肯定带动新型的网络安全技术发展。
网络安全未来三大发展方向:
网络安全(安全等保)
云原生安全 AI
人工智能在网络安全的运用( ChatGPT )
发展空间大:
在企业内部,网络工程师根本处于"双高"职位,即职位高、待遇高。就业面广,一专多能,实践经验适用于各个领域。
增值潜力大:
把握企业核心网络架构、安全技术,具有不可替换的竞争上风。职业代价随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨。
职业寿命长:
网络工程师工作的重点在于对企业信息化建设和维护,此中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不停增长和对行业配景的深入了解,会越老越吃香。
六、书单保举:
点赞收藏评论区留言“已关注 求 ”!都可以分享给大家!(包含电子书单)
盘算机操作系统:
【1】编码:隐藏在盘算机软硬件背后的语言
【2】深入理解操作系统
【3】深入理解windows操作系统
【4】Linux内核与实现
编程开发类:
【1】编码:隐藏在盘算机软硬件背后的语言
【2】深入理解操作系统
【3】深入理解windows操作系统
【4】Linux内核与实现
编程开发类:
【1】 windows程序计划
【2】windwos核心变成
【3】Linux程序计划
【4】unix环境高级变成
【5】IOS变成
【6】第一行代码Android
【7】C程序语言计划
【8】C primer plus
【9】C和指针
【10】C专家编程
【11】C陷阱与缺陷
【12】汇编语言(王爽)
【13】java核心技术
【14】java编程思想
【15】Python核心编程
【16】Linuxshell脚本攻略
【17】算法导论
【18】编译原理
【19】编译与反编译技术实战
【20】代码整齐之道
【21】代码大全
【22】TCP/IP详解
【23】Rootkit : 系统灰色地带的埋伏者
【24】黑客攻防技术宝典
【25】加密与解密
【26】C++ 反汇编与逆向分析技术揭秘
【27】web安全测试
【28】白帽子讲web安全
【29】精通脚本黑客
【30】web 前端黑客技术揭秘
【31】程序员的应用
【32】英语写作手册:风格的要素
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不负担由于技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的器重,并接纳相应的安全措施,从而减少由网络安全而带来的经济丧失。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]