论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
搜索
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
Email
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
ToB企服应用市场:ToB评测及商务社交产业平台
»
论坛
›
物联网
›
物联网
›
2024网络安全学习路线 非常详细 推荐学习 ...
2024网络安全学习路线 非常详细 推荐学习
海哥
金牌会员
|
3 天前
|
显示全部楼层
|
阅读模式
楼主
主题
771
|
帖子
771
|
积分
2313
关键词:网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线
起首咱们聊聊,学习网络安全方向通常会有哪些题目
1、打基础时间太长
学基础花费很长时间,光语言都有几门,有些人会倒在学习 linux 系统及命令的路上,更多的人会倒在学习语言上;
2、知识点掌握程度不清晰
对于网络安全基础内容,很多人不清晰需要学到什么程度,囫囵吞枣,导致在基础上花费太多时间;看到很多小搭档,买了 HTML,PHP,数据库,计算机网络等书籍,每本还很厚,很多写得也很深,发现越学越没自信,别人学个 PHP 大概数据库就可以找到工作,而网络安全要学这么多,越来越猜疑自己是不是选错了方向;
3、知识点分不清重点
很多人花了很大精力学完了基础内容,但是发现很多知识和后续网络安全关联不大,没有分清重点,浪费了很多时间;
4、知识点学习不系统
之前看到很多小搭档在 b 站找了很多多少视频,也去其他平台买了点小课,百度云盘上也有 1-2T 的学习资料和视频内容,但是每一类学完都需要花费不少时间,且内容很多有重复性,学完 SQL 注入后,背面又看到另一家讲这个 SQL 注入,还不错,又会去学习一遍,发现学完所有 web 毛病原理后,自己还是不太确定自己是否把 Web 毛病这块的知识点学全没有;
5、自己解决题目难
对于初学者来说,很多会自己搭建一些靶场,但是由于设置情况等缘故起因,耽误时间会很多,尤其初学者碰到连续 3 个题目无法解决的时候,很容易放弃;对于一部分动手本领较差的同砚,这块可能会直接影响到继续学习的信心;
6、实战程度不够
对于学网络安全,渗透测试方向的技能,着实很大程度上学习的就是“黑客”技能,通过学习怎么打击和入侵,才可以或许更清晰系统和应用怎么去防御;而这块也恰恰是网络安全的核心,如果光有理论,实战经验少,也是较难去就业;在平时学习中,除了可以搭建一些开源的靶场用于练习,最好还是要有真实毛病组成的靶场用于学习,固然也可以去 SRC 平台去渗透测试一些真实网站(肯定要获得授权才可以渗透真实网站),但是难度发现又比较大,很多初学者会丧失信心,猜疑自己;
7、内网学习困难较大
Web 渗透这块的资料在互联网到处都是,学习起来相对较为轻松,但是内网这块的资料在互联网相对较少,可以或许借鉴的资料不多,别的也需要有相应的靶场共同练习,才气有技能上的提高和积累;学习难度会比较大。
相识了题目,同时结合自身的一些特点来调整学习方向,会事半功倍,以下为 3 种学习线路,适用于不同的学习人群
方法 1:先学习编程,然后学习 Web 渗透及工具利用等
适用人群:有肯定的代码基础的小搭档
(1)基础部分
基础部分需要学习以下内容:
(1.1)计算机网络 :
重点学习 OSI、TCP/IP 模型,网络协议,网络设备工作原理等内容,其他内容快速通读;
(1.2)Linux 系统及命令 :
由于目前市面上的 Web 服务器 7 成都是运行在 Linux 系统之上,如果要学习渗透 Web 系统,最起码还是要对 linux 系统非常认识,常见的操作命令需要学会;
**学习建议:**学习常见的 10%左右的命令适用于 90%的工作场景,和 office 软件一样,掌握最常用的 10%的功能,基本日常利用没什么题目,碰到不会的,再去找度娘;常见的 linux 命令也就 50-60 个,很多小白囫囵吞枣什么命令都学,发现记不住啊!!!!这个学习方法也是不对的;
(1.3)Web 框架 :
认识 web 框架的内容,前端 HTML,JS 等脚本语言相识即可,后端 PHP 语言重点学习,切记不要按照开发的思绪去学习语言,php 最低要求会读懂代码即可,固然会写最好,但不是开发,但不是开发,但不是开发,告急的事变说三遍;
(1.4)数据库:
需要学习 SQL 语法,利用常见的数据库 MySQL 学习对应的数据库语法,也是一样,SQL 的一些些高级语法可以相识,如果没有时间完全不学也不影响后续学习,毕竟各人不是做数据库分析师,不需要学太深;
(2)Web 安全
(2.1)Web 渗透
掌握 OWASP 排名靠前的 10 余种常见的 Web 毛病的原理、利用、防御等知识点,然后配以肯定的靶场练习即可;有的小白可能会问,去哪里找资料,建议可以直接买一本较为权威的书籍,共同 b 站的免费视频系统学习,然后利用开源的靶场辅助练习即可;
【推荐靶场】常见的靶场都可以上 github 平台搜索,推荐以下靶场 DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等,有些是综合靶场,有些是专门针对某款毛病的靶场;
(2.2)工具学习
Web 渗透阶段还是需要掌握一些必要的工具,工具的学习 b 站上的视频比较多,挑选一些讲解得不错的视频看看,不要一个工具看很多视频,大多数视频是重复的,且很浪费时间;
**主要要掌握的工具和平台:**burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具 ssrs、hydra、medusa、airspoof 等,以上工具的练习完全可以利用上面的开源靶场去练习,充足了。
练习差不多了,可以去 SRC 平台渗透真实的站点,看看是否有突破,如果涉及到需要绕过 WAF 的,需要针对绕 WAF 专门去学习,姿势也不是特别多,系统性学习学习,然后多总结经验,更上一层楼。
(2.2)自动化渗透
自动化渗透需要掌握一门语言,且需要熟练运用,可以是任何一门自己已经掌握得很认识得语言,都可以,如果没有一门掌握很好的,那我推荐学习 python,最主要缘故起因是学起来简朴,模块也比较多,写一些脚本和工具非常方便;
什么鬼?又要学习编程,刚才不是说了编程不是学习网络安全的必要条件,不懂自动化渗透也不影响入门和就业,但是会影响职业的发展,且学习 python 不需要掌握很多不需要的模块,也不需要开发成千上万行的代码,仅利用它编写一些工具和脚本,少则 10 几行代码,多则 1-200 行代码,一般代码量相对开发人员已经少得不能再少了,例如一个精简得域名爬虫代码核心代码就 1-20 行而已;
有的小搭档可能又急了,那到底需要怎么学嘛?
几天时间学习一下 python 的语法,有代码基础得小哥哥和小姐姐,最快可能一天就可以学习完 python 的语法,由于语言都是相通的,但是学习语言最快的就是写代码,别无他法;接下来可以开始尝试写一些常见得工具,如爬虫、端口探测、数据包核心内容提取、内网活泼主机扫描等,此类代码网上一搜一大把;然后再写一些 POC 和 EXP 脚本,以靶场为练习即可;有的小搭档可能又要问了,什么是 POC 和 EXP,自己度娘去,养成动手的好风俗;
(2.3)代码审计
什么鬼?又要看代码。此处内容要求代码本领比较高,因此如果代码本领较弱,可以先跳过此部分的学习,不影响渗透道路上的学习和发展。
但是如果渴望在 Web 渗透上需要走得再远一些,需要精通一门背景开发语言,推荐 php,由于背景采用 php 开发的网站占据最大,固然你还精通 python、asp、java 等语言,那恭喜你,你已经具备很好的基础了;
代码审计顾名思义,审计别人网站大概系统的源代码,通过审计源代码大概代码情况的方式去审计系统是否存在毛病(属于白盒测试范畴);
那具体要怎么学习呢?学习的具体内容按照顺序列举如下:
掌握 php 一些危险函数和安全设置;
认识代码审计的流程和方法;
掌握 1-2 个代码审计工具,如 seay 等;
掌握常见的功能审计法;(推荐审计一下 AuditDemo,让你产生自信)
常见 CMS 框架审计(难度大);
**【推荐书籍】**代码审计有一本国外的书籍《代码审计:企业级 Web 代码安全架构》,固然有空的时候可以去翻翻,建议还是在 b 站上找一套系统先容的课程去学习;github 上找到 AuditDemo,下载源码,搭建在本地假造机,然后利用工具和审计方法,审计 AuditDemo 中存在的 10 个毛病,难度分布符合正态分布,可以挑衅一下;
至于 CMS 框架审计,可以去一些 CMS 官方网站,下载一些汗青存在毛病的版本去审计,框架的学习利用官方网站的利用手册即可,如 ThinkPHP3.2 版本是存在一些毛病,可以尝试读懂代码;但是切记不要一上来就看代码,由于 CMS 框架的代码量比较大,如果不系统先学习框架,基本属于看不懂状态;学习框架后可以或许具备写简朴的 POC,按照代码审计方法结合工具一起审计框架;着实也没有想想中的那么难,如果你是开发人员转行的,恭喜你,你已经具备代码审计的天赋性优势。
那有的小搭档又问了,我代码很差,不学习代码审计行不可,代码审计不是学习网络安全的必要条件,可以或许掌握最好,掌握不了也不影响后续的学习和就业,但你需要选择一个阶段,练习得更专业精通一些,如 web 渗透大概内网渗透,再大概是自动化渗透;
(3)内网安全
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;
如果想就业面更宽一些,技能竞争更强一些,需要再学习内网渗透相关知识;
内网的知识难度稍微偏大一些,这个和目前市面上的学习资料另有靶场有肯定的关系;内网主要学习的内容主要有:内网信息收集、域渗透、代理和转发技能、应用和系统提权、工具学习、免杀技能、APT 等等;
不要和我说专业名词,叭叭叭叭叭叭!具体要怎么学?
**【推荐书籍】**这个题目有点大,呃呃呃呃呃呃!可以看《内网安全攻防:渗透测试实战指南》,这本书写得还不错,国内为数不多讲内网的书籍,以书籍目录为主线,然后共同工具和靶场去练习即可;
那小搭档又要问了,那去哪里可以下载到内网靶场!呃呃呃呃呃!这个难倒我了,如果你本领够强,电脑设置高,可以自己利用假造机搭建内网情况,一般需要 3 台以上的假造机;你也可以到国外找一些内网靶场利用,有一些收费的靶场还可以;
(4)渗透拓展
渗透拓展部分,和具体工作岗位接洽也比较精密,尽量要求掌握,主要有日志分析、安全加固、应急响应、等保测评等内容;其中重点掌握前三部分,这块的资料网络上也不多,也没有多少成型的书籍资料,可通过行业相关的技能群大概行业分享的资料去学习即可,能学到这一步,基本上已经算入门成功,学习日志分析、安全加固、应急响应三部分的知识也相对较为容易。
方法 2:先学习 Web 渗透及工具,然后再学习编程
适用人群:代码本领很弱,大概根本没有什么代码本领,其他基础也比较差的小搭档
那有的小搭档就会问了,那你基础都不打好,怎么学习 Web 渗透?
基础部分还是要学习的,比如 linux 系统、计算机网络、一点点的 Web 框架、数据库还是需要提前掌握;
那像 php 语言、自动化渗透和代码审计部分内容,可以放在末了,当学习完毕前面知识后,也相称入门后,再来学习语言,相对会容易一些;
**【优先推荐】**方法 2,对于小白来说,代码基础通常较弱,很多很多小白会倒在前期学习语言上,所以推荐方法 2 的学习,先学习 web 渗透和工具,也比较有意思,容易保持一个高涨的学习动力和热情,具体学习内容我就不说了,请小搭档们参照方法 1 即可。
给各人的福利
零基础入门
对于从来没有接触过网络安全的同砚,我们帮你准备了详细的学习发展路线图。可以说是最科学最系统的学习路线,各人跟着这个大的方向学习准没题目。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同砚,我们帮你准备了详细的
学习发展路线图
。可以说是
最科学最系统的学习路线
,各人跟着这个大的方向学习准没题目。
② 路线对应学习视频
同时每个发展路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 黑客技能
因篇幅有限,仅展示部分资料
4️⃣网络安全面试题
5️⃣汇总
所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》扫码获取即可~
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
回复
使用道具
举报
0 个回复
正序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
发新帖
回复
海哥
金牌会员
这个人很懒什么都没写!
楼主热帖
CMOS图像传感器——黑电平校正 ...
如何使用 FlowUs 、Notion 等笔记软件 ...
gRPC入门
什么是精准卫星授时?什么是NTP网络时 ...
makefile简单脚本编写和Linux调试器gdb ...
【第90题】JAVA高级技术-网络编程9(简 ...
Linux【实操篇】—— 日志管理 ...
vue 的常用事件
姚凯大学生创业导论课后答案2022 ...
windows提权-系统错误配置提权 ...
标签云
挺好的
服务器
快速回复
返回顶部
返回列表