202年充电筹划——自学手册 网络安全（黑客技能）

  🤟 基于入门网络安全/黑客打造的：👉黑客&网络安全入门&进阶学习资源包 前言
什么是网络安全

网络安全可以基于攻击和防御视角来分类，我们常常听到的 “红队”、“排泄测试” 等就是研究攻击技能，而“蓝队”、“安全运营”、“安全运维”则研究防御技能。
怎样成为一名黑客

   许多朋侪在学习安全方面都会半路转行，由于不知怎样去学，在这里，我将这个整份答案分为 黑客（网络安全）入门必备、黑客（网络安全）职业指南、黑客（网络安全）学习导航 三大章节，涉及代价观、方法论、实行力、行业分类、职位解读、法律法规政策、国产业局机构、安全企业、安全媒体、安全工具、安全尺度、册本讲义、视频教程、学习门路、口试题、靶场、SRC、CTF 等 20+ 细分专题。（文末有福利~）
  1. 黑客（网络安全）入门必备
关于「黑客」，每个人都有自己的界说和明白。我以为，一名及格的黑客，抛开技能层面，起首应该具备以下这些本事或风致：
   端正善良的代价观：遵法守纪、严守底线、拒绝黑灰产
  科学公道的方法论：终身发展、知识管理、第一性原理
  连续有用的实行力：自我驱动、实践为先、效果导向
  以上排序，权重应该是从上到下的。究竟，一个人的代价观会影响他（她）选择的方法论，而一个人的方法论则会决定他（她）办事的效果。
1.1 起首，黑客必要有「端正善良的代价观」。

学习并把握了所谓的「黑客技能」之后，即便从事的不是保家卫国护网之类的网络安全职位，你仍有较大几率听闻或打仗到这些关键词：拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛……
信任我，在互联网上，拒绝黑灰产要跟拒绝黄赌毒一样果断，一旦你碰了，是很难转头的。人性在巨大的金额回报勾引下，是很容易摇晃的。到底向左还是向右走，真的取决于你的代价观取向。
因此，秉持端正善良的代价观、遵法守纪、严守底线，是你进入黑客之旅务须要携带的护符，它能为你驱除杂念、为你的职业生活保卫护航。
1.2 其次，黑客必要有「科学公道的方法论」。

黑客或网络安全学科，劈头盘算机科学，但又不止于盘算机，还涉及社会工程学、生理学、信息战等多个范畴，学习曲线属于范例的「入门易博识难」。
进入这个圈子之前，信任聪明的你已经积聚了许多关于「怎样学习」「怎样对峙」等各种方法，但劈面临的是海量涌来的知识、敲不完的代码、无法穷尽的弊端时，你真的能对峙下来吗？
大部门人走着走着就迷路了，本质是缺少方法论的支持，各行各业的方法论许多，这里仅分享对我个人影响最为深刻的 3 个：
   终身发展，即接纳连续发展的心态，将学习与发展周期无穷拉长到一生。

1.    很多人喜欢将 “过了 xx 岁就学不动了” 之类的挂在嘴别，在我看来要么是误区要么是借口，这样观念无非是用来掩饰自己懒惰不愿成长不想改变的心态。如果你接受这些传统观念，那只能说明你不适合做一名黑客。相反地，采用终身成长这套方法论，将「做一名黑客」的时间跨度无限拉长到一生，把它当成一生的事业而不是一个短暂的职位，那么，我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较，给自己多点时间和耐心，3 个月不行就 6 个月， 6 个月不行就 1 年，1 年不行就 2 年…… 这个方法论的实践，可以让我们在成长路上戒骄戒躁并持续精进，不妄求短时间内“大跃进”，也抛弃了“一口吃撑”的激进做法。

复制代码

代码表明 代码表明 代码表明   知识管理，即 PKM（Personal Knowledge Management ），是研究怎样科学高效管理知识的一套方法论。

1.    考虑到黑客或网络安全领域的跨学科特性，需要掌握的知识量非常繁杂，超过了大部分人的承载能力。因此，如果你要做黑客，那么我推荐你采用 PKM 来构建自己的知识管理系统，持续优化输入输出路径，打造最优学习闭环。采用这个方法论，最终可以让我们得到这个结果：学习能力比别人强一点、成长速度比别人快一点。

复制代码

代码表明 代码表明 代码表明   第一性原理，即 First Principle Thinking，简单来说就是透过事物征象看本质。

1.   很多人在刚学习黑客或网络安全技术时，经常会有这些问题：我在学校学的编程语言是 C/C++，Java / Python 这些能学会吗？我是做软件开发的，能从事网络安全方向吗？我是搞 Web 安全的，能转移动安全吗？…… 有这些问题的人，大体缺乏这套方法论的使用经验。例如，学编程，以第一性原理的视角来看，核心不是学语法，而更应重视算法、数据结构、代码逻辑这些，搞定这些底层，其实根本不存在语言切换的问题。同理，做软件开发就是用代码研制出产品（网站/业务系统/APP等），而做网络安全就是给产品找bug，两者相辅相成，即「不懂软件开发的程序员不是一个合格的黑客」。以上仅是这套方法论的粗浅举例，在此先不展开。我更想说的是，作为一名黑客，采用这套方法论，可以让我们：习惯用why而不是what、思考更深入一点、知识更通透一点。价值观再正，方法论再好，若没有执行力，那便是纸上谈兵。例如，看书学习处于“三天打鱼两天晒网”的状态，这就是典型的执行力出了问题。

复制代码

代码表明 代码表明 代码表明 1.3 因此，「连续有用的实行力」也是黑客必备的本事。

那么，怎样做到连续有用实行（学习/工作/发展）？我以为有 3 个点：
自我驱动：对各类技能知识富足狂热、有猛烈的爱好和洽奇心、遇到标题刨根问底、有较强的自律本事…… 只有保持如许的自我驱动，才气真正做到连续稳固。
实践为先：学到的知识是否真的有用，先动手再说，所谓“实践出真知”。
效果导向：同样是干活，也有“干了”和“干好”的差异。因此，无论看书做实验搞项目，肯定要效果导向，用数据和效果语言。
简单来说，保持自我驱动的状态，多动手实践，以效果为依据，以此得到连续有用的实行力，这是学习或从事黑客（网络安全）工作的基石。
2. 黑客（网络安全）职业指南

在 2017 年 6 月 1 号之前，即网络安全法出台之前，黑客在公众眼里乃至是个贬义词，在企业内里，安全工程师乃至是可有可无的“斲丧型”岗位。
而随着《国家网络空间安全战略》《网络安全法》《等保2.0》等一系列政策/法规/尺度的连续落地，网络安全产业从小众产业渐渐发展成为国家战略性新兴产业，与人工智能、大数据、云盘算等范畴并驾齐驱。
政企单元的网络安全建立也从以往的“可选项”渐渐变为“必选项”乃至是“逼迫项”，许多企业在举行 IT 部门及岗位分别时，以通常往只有研发和运维部门，安全职员直接归属到根本运维部；而如今，越来越多企业建立独立的安全部门，拉拢各方安全人才、组建 SRC（安全相应中心），为自己的产物、应用、数据保卫护航。
越来越多高校也一连开设了网络空间安全 / 信息安全学科，为互联网、金融、电商、运营商、政企等各行各业运送人才。
短短几年间，黑客不光成为了正规军，还直接跃升为国家战略型资源，成为企业“一将难求”的稀缺资源。
因此，要想体系化的相识黑客的职业发展门路，那我们就必须相识网络安全行业的方方面面，包罗：
网络安全行业分类、技能需求
网络安全职位分类、雇用需求
网络安全雇用企业、薪酬尺度
2.1 网络安全行业分类、技能需求

根据差异的安全规范、应用场景、技能实现等，安全可以有许多分类方法，在这里我们简单分为网络安全、Web安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全 等差异范畴。下面以个人所在行业和关注点，重点探究 网络 / Web / 云这几个安全方向。
① 网络安全

[网络安全] 是安全行业最经典最根本的范畴，也是如今国内安全公司发家致富的范畴，比方启明星辰、绿盟科技、天融信这几个企业（“老三大” ）。这个范畴研究的技能范畴重要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关（IPsec/SSL）、抗DDOS、上网活动管理、负载均衡/应用交付、流量分析、弊端扫描等。通过以上网络安全产物和技能，我们可以计划并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各行的网络根本办法保驾护航。
大的安全项目（肥肉…）重要会合在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商（移动/电信/联通）需求的电信网/城域网、以银活动主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着国民最焦点的根本办法和敏感数据，一旦走漏大概遭到非法入侵，影响范围就不光仅是一个企业/公司/构造的事变，比方政务或军工涉密数据、国民社保身份信息、骨干网络根本办法、金融生意业务账户信息等。
固然，除了以上这些，另有其他的企业网、教诲网等也必要大量的安全产物和服务。网络安全项目一样平常会由网络安全企业、体系集成商、网络与安全署理商、IT服务提供商等具备国家认定的盘算机体系集成资质、安全等保等行业资质的技能单元来提供。
[技能需求]
网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…
主流网络与安全装备摆设：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…
网络安全架构与计划：企业网/电信网/政务网/教诲网/数据中心网计划与摆设…
信息安全等保尺度、金土/金税工程… ……
[增补阐明]
不要被影戏和消息等节奏带偏，战斗在这个范畴的安全工程师非常非常多，不是天天攻击别人写攻击代码写病毒的才叫做安全工程师；
这个安全范畴研究的内容除了defense（防御）和security（安全），干系的Hacking（攻击）技能包罗协议安全（arp中心人攻击、dhcp泛洪诱骗、STP诱骗、DNS挟制攻击、HTTP/VPN弱版本或中心人攻击…）、接入安全（MAC泛洪与诱骗、802.1x、WiFi暴力破解…）、硬件安全（使用NSA走漏工具包攻击着名防火墙、装备长途代码实行弊端getshell、网络装备弱口令破解… ）、设置安全（不安全的协议被开启、不必要端口服务被开启…）…
学习这个安全方向不必要太多盘算机编程功底（不是走研发门路而是走安全服务工程师门路），更多必要把握常见安全网络架构、对网络协媾和故障能抓包分析，对网络和安全装备能认识设置；
② Web安全

Web安全范畴从狭义的角度来看，就是一门研究[网站安全]的技能，相比[网络安全]范畴，平常用户可以大概更加直观感知。比方，网站不能访问了、网站页面被恶意窜改了、网站被黑客入侵并走漏焦点数据（比方新浪微博或淘宝网用户账号走漏，这个时间就会引发恐慌且相继修改暗码等）。固然，大的安全项目内里，Web安全仅仅是一个分支，是必要跟[网络安全]是相辅相成的，只不外Web安全关注上层应用和数据，网络安全关注底层网络安全。
随着Web技能的高速发展，从原来的[Web不就是几个静态网页吗？]到了如今的[Web就是互联网]，越来越多的服务与应用直接基于Web应用来睁开，而不再仅仅是一个企业网站或论坛。如今，交际、电商、游戏、网银、邮箱、OA……等险些全部能联网的应用，都可以直接基于Web技能来提供。
由于Web所承载的意义越来越大，围绕Web安全对应的攻击方法与防御技能也层出不穷，比方WAF（网页防火墙）、Web弊端扫描、网页防窜改、网站入侵防护等更加细分垂直的Web安全产物也出现了。
[技能需求]
Web安全的技能点同样多的数不外来，由于要搞Web方向的安全，意味初学者要对Web开发技能有所相识，比方能通过前后端技能做一个Web网站出来，好比要搞[网络安全]，起首要懂怎样搭建一个网络出来。那么，Web技能就涉及到以下内容：
通讯协议：TCP、HTTP、HTTPs
使用体系：Linux、Windows
服务架设：Apache、Nginx、LAMP、LNMP、MVC架构
数据库：MySQL、SQL Server、Oracle
编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）
如果按照上面的技能全部学完，不光时间周期非常长，估计大部门人连学反面安全的爱好都没有了。以是，这就说到Web安全这个行业别的一个常态了：大部门做Web安全的，并不是刚开始就对Web开发技能非常认识的，许多都是半路杀出来了，乃至连Web网站都没有架设过的，这种大有人在。因此有更加狭义的Web安全技能点：
安全理论：OWASP TOP 10 、PETS、ISO 27001…
后端安全：SQL注入、文件上传、Webshell（木马）、文件包罗、下令实行…
前端安全：XSS跨站脚本攻击、CSRF跨站哀求伪造…
安全产物：Web弊端扫描（Burp/WVS/Appscan）、WAF（Web应用防火墙）、IDS/IPS（Web入侵防御）、Web主机防护
因此，Web开发技能和Web安全技能着实是相辅相成的，如果对Web开发比力认识，意味着研究Web安全时可以大概更加底层，而不止于安全工具和脚本层面。
[增补阐明]
学习 Web 安全方向必要有肯定的编程根本，如果对代码没爱好，发起走[网络安全]方向；
[网络安全]和[Web安全]在安全范畴内里刚好是对立面存在，一硬一软、一防一攻、一上（上层）一下（底层）；
③ 终端安全（移动安全/桌面安全）

移动安全重要研究比方手机、平板、智能硬件等移动终端产物的安全，比方iOS和Android安全，我们常常提到的“越狱”着实就是移动安全的范畴。而近期发作的危急举世的Windows电脑蠕虫病毒 - “WannerCry打单病毒”，大概更加长远的“熊猫烧香”，便是桌面安全的范畴。
桌面安全和移动安全研究的技能面都是终端安全范畴，说的简单一些，一个研究电脑，一个研究手机。随着我们工作和生存，从PC端迁移到了移动端，终端安全也从桌面安全迁移到移动安全。最认识不外的终端安全产物，便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等百口桶……
从商业的角度看，终端安全（移动安全加桌面安全）是一门to C的业务，更多面向终极个人和用户；而网络安全、Web安全、云安全更多是一门to B的业务，面向政企单元。举例：360这家公司就是范例的从to C安全业务延伸到to B安全业务的公司，比方360企业安全便是面向政企单元提供安全产物和服务，而我们认识的360安全卫士和杀毒则重要面向个人用户。
④ 云安全

[云安全] 是基于云盘算技能来开展的别的一个安全范畴，云安全研究的话题包罗：软件界说安全、超融合安全、假造化安全、呆板学习+大数据+安全…… 如今，基于云盘算所睁开的安全产物已经非常多了，涵盖原有网络安全、Web安全、移动安全等方向，包罗云防火墙、云抗DDOS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有相对成熟的商用办理方案出现。
云安全在产物形态和商用交付上面，实现安全从硬件到软件再到云的厘革，大大减低了传统中小型企业使用安全产物的门槛，从前一个安全项目动辄百万级别，而基于云安全，实现了真正的按需弹性购买，大大减低采购本钱。别的，云期间的安全也给原有行业的规范和实验带来更多寻衅和厘革，比方，托管在云端的商用服务，云服务商和客户各自负担的安全建立责任和边界怎样区分？云端安全项目怎样做信息安全等保测评？
[增补阐明]
安全趋势：从硬件到软件再到云安全、从被动防御到主动防御、从单点到全局
安全的未来：“呆板学习+大数据+ 云安全” 或 “AI + 安全”，会不会成为行业止境？（举例：越来越多的服务直接基于云睁开，以云服务商为代表的阿里云/腾讯云对其他安全企业的跨界打击）
求职情况：如今国内的云服务厂商在不绝挖角传统网络安全厂商的人才（无论是研发还是工程实验），而且已经到了批量挖角的局面（详细那里的，这里临时就不提了…）
⑤ 工控安全

以震网病毒（stuxnet）攻击伊朗核电厂并使其瘫痪的举世变乱，从安全范畴活生生撕开一道口并告诉我们，工控病毒才是真正代替核武器战役的代表。相比其他安全方向，工控安全研究的攻防对象是工业根本办法，真正影响人类生存的方方面面，比方核电、电力、水力、都会交通等根本办法。随着万物互联/物联网的历程不绝推进，工控安全会成为我们继互联网和移动互联网安全之后研究的重心。
2.2 网络安全职位分类、雇用需求

① 安全岗位

以安全公司雇用的情况来分，安全岗位可以以研发系、工程系、贩卖系来区分，差异公司对于安全岗位叫法有所区分，这里以行业常见的叫法归类如下：
研发系：安全研发、安全攻防研究、逆向分析
工程系：安全工程师、安全运维工程师、安全服务工程师、安全技能支持、安全售后、排泄测试工程师、Web安全工程师、应用安全审计、移动安全工程师
贩卖系：安全贩卖工程师、安全售前工程师、技能办理方案工程师
② 恰当我们的岗位有哪些？

拼客学院这边结业学员重要走安全工程系，我们如今重要应聘的岗位是：安全工程师、安全运维、安全服务工程师、排泄测试工程师、Web安全工程师，固然，也有部门学员在做安全研发和安全售前岗位。
比方在安全公司如绿盟科技、笃敬佩、360、天融信等做安全工程师、安全服务、排泄测试等岗位，在甲方单元比方运营商（中国移动、中国电信）、金融类公司（安全科技、招商银行）等更多做安全运维、Web应用审计、Web排泄测试等岗位
③ 常见的安全岗位职责

这里仅摆列部门，更多岗位可以到各类雇用网站如[拉勾网]上搜索干系的岗位，也可以相识差异范例公司对安全岗位的要求；也可以到着名安全公司的官网、微信公众号上相识他们校招和社招的信息；以下是平常在拼客学院雇用/内推的比力多的岗位，直接贴他们的雇用需求=>
[安全工程师]（产物与售后方向） 职位形貌 负责网络安全项目中的产物调试和交付 负责网络安全项目中的技能方案编写 负责客户的安全应急和售后驻场
职位要求： 具备踏实的盘算机与网络原理，认识各类网络与安全装备（路由、交换、防火墙、VPN、弊端扫描） 对网络数据包具备分析实践本事，熟练使用数据包分析工具； 认识常见网络通讯协议（TCP/IP、交换路由协议、VPN协议等） 认识防火墙原理，可以大概熟练设置防火墙计谋； 认识主流网络与安全厂商产物（思科/华为/华三/Juniper…） 较好的文档撰写本事、语言表达和与沟通本事。
[安全服务工程师] 职位形貌 负责安全服务项目中的实验部门，包罗：弊端扫描、排泄测试、安全基线查抄、代码审计、应急相应等； 发作高危弊端后时行弊端的分析应急； 对公司安全产物的后端支持； 把握专业文档编写本事； 关注行业态势和热门。
职位要求： 把握一门及以上编程语言； 认识常见安全攻防技能； 有较强学习本事，能快速学习新的技能； 认识风险评估、应急相应、排泄测试、安全加固等安全服务； 具有精良的语言表达本事、文档构造本事。
[安全运维工程师] 职位形貌 服务器与网络根本装备的安全加固； 安全变乱排查与分析，共同定期编写安全分析陈诉，专注业内安全变乱； 跟踪最新弊端信息，举行业务产物的安全查抄； 负责信息安全计谋/流程的订定,安全培训/宣传及推广； 负责Web弊端和体系弊端修复工作推进，跟踪办理情况，标题网络。
职位要求： 认识主流的Web安全技能，包罗SQL注入、XSS、CSRF等OWASP TOP 10安全风险； 认识TCP/IP协议，路由交换、常用的应用层协议； 认识Linux/Windows下体系和软件的安全设置与加固； 认识常见的安全产物及原理，比方IDS、IPS、防火墙等； 熟练把握C/PHP/Python/Shell等一或多种语言； 较好的文档撰写本事、语言表达和与沟通本事。
[Web安全工程师/排泄测试] 职位形貌 对公司各类体系举行安全加固； 对公司网站、业务体系举行安全评估测试（黑盒、白盒测试）； 对公司安全变乱举行相应，整理后门，根据日记分析攻击途径； 安全技能研究，包罗安全防范技能，黑客技能等； 跟踪最新弊端信息，举行业务产物的安全查抄。
职位要求： 认识Web排泄测试方法和攻防技能，包罗SQL注入、XSS跨站、CSRF伪造哀求、下令实行等安全弊端与防御； 认识Linux、Windows差异平台的排泄测试，对网络安全、体系安全、应用安全有深入的明白和自己的认识； 认识国表里主流安全工具，包罗Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等； 至少把握一门编程语言C/JS/Python/PHP/Java/JS等； 对Web安全团体有深刻明白，有肯定的代码审计和弊端分析和发掘本事； 具有较强的团队意识、高度的责任感，有精良的文档和沟通本事；
④ 安全岗位总结

走安全行业的工程方向的，技能上面着实有很大的重叠性，抛开甲乙方、岗位名称、岗位职责等因向来看，作为学技能的，也根据以往我们给学员保举就业和入职情况来看，只要好好把握以下几种技能（网络协议与安全装备、Linux使用体系、Web服务摆设/开发、主流排泄测试/安全工具、一门及以上的编程语言）中的2到3个，都可以较好的胜任工作需求。
固然，从行业新人入职到真正通往大神，这里是“0到1”和“1到100”的区别了，到了工作场景中，能否根据工作需求，再横向和纵向拓展个人技能栈，这块修行就完端赖个人了，比方，这边结业的学员，有从安全运维和售后转向安全排泄岗的，有从安全排泄岗转到安全研发的，有从安全公司跳到互联网公司的，有从互联网公司跳到安全初创企业的……）
3. 网络安全学习导航

3.1 法律法规政策知道在什么框架下行事

   《中华人民共和国刑法》
  《中华人民共和国网络安全法》
  《网络安全品级掩护制度2.0》
  3.2 国产业局机构（知道谁在管事）

   中心网络信息安全领导小组：http://www.cac.gov.cn/
  国家互联网应急中心：http://www.cert.org.cn/
  中国国家书息安全弊端库：http://www.cnnvd.org.cn/
  国家书息安全弊端共享中心：http://www.cnvd.org.cn/
  中国信息安全测评中心：http://www.itsec.gov.cn/
  中国信息安全品级掩护网：http://www.djbh.net/
  中国反网络病毒同盟：https://www.anva.org.cn/
  中国互联网络信息中心：http://www.cnnic.net.cn/
  3.3 安全企业站点（知道安全圈的重要玩家都有谁）

   国外安全公司
  Fireeye：https://www.fireeye.com/
  Checkpoint：https://www.checkpoint.com/
  Fortinet（飞塔）：http://www.fortinet.com.cn/
  Palo Alto：https://www.paloaltonetworks.cn/
  思科（安全）：http://www.cisco.com/c/zh_cn/products/security/index.html
  Juniper（瞻博网络）：http://www.juniper.net/cn/zh/
  国内安全公司：
  绿盟科技：https://www.nsfocus.com/
  启明星辰：https://www.venustech.com.cn/
  笃敬佩：http://www.sangfor.com.cn/
  奇虎360：https://360.cn/
  奇安信：https://www.qianxin.com/
  天融信：https://www.topsec.com.cn/
  山石网科：https://www.hillstonenet.com.cn/
  知道创宇：https://www.yunaq.com/
  安恒信息：https://www.dbappsecurity.com.cn/
  火绒安全：https://www.huorong.cn/
  蓝盾科技：http://www.bluedon.com/
  科来：http://www.colasoft.com.cn/
  3.4 安全媒体安全客：

  

1. [/code]  [list=1]
2. [*] https://www.anquanke.com/
3. [*]
4. [*] FreeBuf：https://www.freebuf.com/
5. [*]
6. [*] E安全：https://www.easyaq.com/
7. [/list]  [size=1]3.5 安全工具[/size]
9.    [code]

复制代码

• sectool：http://sectools.org/
  
• 
  
• kali：https://www.kali.org/
  
• 
  
• nmap：https://nmap.org/
  
• 
  
• wireshark：https://www.wireshark.org/
  
• 
  
• metaspolit：https://www.metasploit.com/
  
• 
  
• nessus：http://www.tenable.com/
  
• 
  
• openvas：http://www.openvas.org/
  
• 
  
• sqlmap：http://sqlmap.org/
  
• 
  
• w3af：http://w3af.org/
  
• 
  
• burpsuite：https://portswigger.net/burp/
  
• 
  
• awvs：https://www.acunetix.com/
  
• 
  
• appscan：https://www.ibm.com/developerworks/cn/downloads/r/appscan/
  
• 
  
• shodan：https://www.shodan.io/
  
• 
  
• cobaltstrike：https://www.cobaltstrike.com/
  
• 
  
• masscan：https://github.com/robertdavidgraham/masscan
  
• 
  
• hydra：https://www.thc.org/thc-hydra/
  
• 
  
• John the Ripper：http://www.openwall.com/john
  
• 
  
• modsecurity：http://www.modsecurity.org/
  

  

  
  

  3.6 安全尺度/框架

   [code][/code]  

• OWASP TOP10
  
• 
  
• PTES排泄测试尺度
  
• 
  
• ISO 27001
  
• 
  
• 信息安全品级掩护
  

  3.7 册本讲义：

   

  

   

  

   

  

  4.网络安全学习门路

对于从来没有打仗过网络安全的同砚，我们帮你准备了详细的学习发展门路图。可以说是最科学最体系的学习门路，各人跟着这个大的方向学习准没标题。

同时每个发展门路对应的板块都有配套的视频提供：

必要网络安全学习门路和视频教程的可以在品评区留言哦~
末了

   

• 如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，内里不光有web安全，另有排泄测试等等内容，包罗电子书、口试题、pdf文档、视频以及干系的课件条记，我都已经学过了，点赞收藏品评区留言“已关注 求 ”！都可以免费分享给各人！
  

    给小同伴们的意见是想清晰，自学网络安全没有捷径，相比而言体系的网络安满是最节流本钱的方式，由于可以大概帮你节流大量的时间和精神本钱。对峙住，既然已经走到这条路上，固然前程看似困难重重，只要咬牙对峙，终极会收到你想要的效果。
  网络安全学习资料和教程，关注主动发送

黑客工具&SRC技能文档&DF册本&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于西欧国家根本踏实（懂加密、会防护、能挖洞、擅工程）的浩繁王谢正直，我国的人才更多的属于歪路左道（许多白帽子大概会不平气），因此在未来的人才作育和建立上，必要调解布局，鼓励更多的人去做“正向”的、团结“业务”与“数据”、“主动化”的“体系、建立”，才气解人才之渴，真正的为社会全面互联网化提供安全保障。
   特别声明：
此教程为纯技能分享！本教程的目的决不是为那些怀有不良动机的人提供及技能支持！也不负担由于技能被滥用所产生的连带责任！本教程的目的在于最大限度地叫醒各人对网络安全的器重，并接纳相应的安全步伐，从而淘汰由网络安全而带来的经济丧失
   🤟 基于入门网络安全/黑客打造的：👉黑客&网络安全入门&进阶学习资源包
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告