论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
搜索
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
Email
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
ToB企服应用市场:ToB评测及商务社交产业平台
»
论坛
›
软件与程序人生
›
DevOps与敏捷开发
›
2024网络安全学习门路 非常详细 保举学习 ...
2024网络安全学习门路 非常详细 保举学习
鼠扑
金牌会员
|
2024-9-1 04:25:18
|
显示全部楼层
|
阅读模式
楼主
主题
577
|
帖子
577
|
积分
1731
关键词:网络安全入门、渗透测试学习、零基础学安全、网络安全学习门路
首先咱们聊聊,学习网络安全方向通常会有哪些问题
1、打基础时间太长
学基础泯灭很长时间,光语言都有几门,有些人会倒在学习 linux 系统及下令的路上,更多的人会倒在学习语言上;
2、知识点掌握水平不清晰
对于网络安全基础内容,很多人不清晰必要学到什么水平,囫囵吞枣,导致在基础上泯灭太多时间;看到很多小伙伴,买了 HTML,PHP,数据库,计算机网络等册本,每本还很厚,很多写得也很深,发现越学越没自大,别人学个 PHP 大概数据库就可以找到工作,而网络安全要学这么多,越来越猜疑自己是不是选错了方向;
3、知识点分不清重点
很多人花了很大精神学完了基础内容,但是发现很多知识和后续网络安全关联不大,没有分清重点,浪费了很多时间;
4、知识点学习不系统
之前看到很多小伙伴在 b 站找了很多多少视频,也去其他平台买了点小课,百度云盘上也有 1-2T 的学习资料和视频内容,但是每一类学完都必要泯灭不少时间,且内容很多有重复性,学完 SQL 注入后,后面又看到另一家讲这个 SQL 注入,还不错,又会去学习一遍,发现学完全部 web 漏洞原理后,自己还是不太确定自己是否把 Web 漏洞这块的知识点学全没有;
5、自己解决问题难
对于初学者来说,很多会自己搭建一些靶场,但是由于设置环境等原因,耽误时间会很多,尤其初学者遇到连续 3 个问题无法解决的时间,很容易放弃;对于一部分动手本领较差的同砚,这块可能会直接影响到继续学习的信心;
6、实战水平不够
对于学网络安全,渗透测试方向的技术,其实很大水平上学习的就是“黑客”技术,通过学习怎么进攻和入侵,才能够更清晰系统和应用怎么去防御;而这块也恰恰是网络安全的核心,如果光有理论,实战履历少,也是较难去就业;在平时学习中,除了可以搭建一些开源的靶场用于练习,最好还是要有真实漏洞组成的靶场用于学习,固然也可以去 SRC 平台去渗透测试一些真实网站(一定要得到授权才可以渗透真实网站),但是难度发现又比力大,很多初学者会丧失信心,猜疑自己;
7、内网学习困难较大
Web 渗透这块的资料在互联网随处都是,学习起来相对较为轻松,但是内网这块的资料在互联网相对较少,能够借鉴的资料不多,别的也必要有相应的靶场配合练习,才能有技术上的提高和积累;学习难度会比力大。
相识了问题,同时结合自身的一些特点来调整学习方向,会事半功倍,以下为 3 种学习线路,实用于不同的学习人群
方法 1:先学习编程,然后学习 Web 渗透及工具使用等
实用人群:有一定的代码基础的小伙伴
(1)基础部分
基础部分必要学习以下内容:
(1.1)计算机网络 :
重点学习 OSI、TCP/IP 模型,网络协议,网络设备工作原理等内容,其他内容快速通读;
(1.2)Linux 系统及下令 :
由于如今市面上的 Web 服务器 7 成都是运行在 Linux 系统之上,如果要学习渗透 Web 系统,最最少还是要对 linux 系统非常熟悉,常见的操作下令必要学会;
**学习建议:**学习常见的 10%左右的下令实用于 90%的工作场景,和 office 软件一样,掌握最常用的 10%的功能,根本日常使用没什么问题,遇到不会的,再去找度娘;常见的 linux 下令也就 50-60 个,很多小白囫囵吞枣什么下令都学,发现记不住啊!!!!这个学习方法也是不对的;
(1.3)Web 框架 :
熟悉 web 框架的内容,前端 HTML,JS 等脚本语言相识即可,后端 PHP 语言重点学习,切记不要按照开发的思绪去学习语言,php 最低要求会读懂代码即可,固然会写最好,但不是开发,但不是开发,但不是开发,重要的事情说三遍;
(1.4)数据库:
必要学习 SQL 语法,使用常见的数据库 MySQL 学习对应的数据库语法,也是一样,SQL 的一些些高级语法可以相识,如果没有时间完全不学也不影响后续学习,毕竟大家不是做数据库分析师,不必要学太深;
(2)Web 安全
(2.1)Web 渗透
掌握 OWASP 排名靠前的 10 余种常见的 Web 漏洞的原理、使用、防御等知识点,然后配以一定的靶场练习即可;有的小白可能会问,去哪里找资料,建议可以直接买一本较为权威的册本,配合 b 站的免费视频系统学习,然后使用开源的靶场辅助练习即可;
【保举靶场】常见的靶场都可以上 github 平台搜刮,保举以下靶场 DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等,有些是综合靶场,有些是专门针对某款漏洞的靶场;
(2.2)工具学习
Web 渗透阶段还是必要掌握一些必要的工具,工具的学习 b 站上的视频比力多,挑选一些讲解得不错的视频看看,不要一个工具看很多视频,大多数视频是重复的,且很浪费时间;
**主要要掌握的工具和平台:**burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、署理工具 ssrs、hydra、medusa、airspoof 等,以上工具的练习完全可以使用上面的开源靶场去练习,充足了。
练习差不多了,可以去 SRC 平台渗透真实的站点,看看是否有突破,如果涉及到必要绕过 WAF 的,必要针对绕 WAF 专门去学习,姿势也不是特殊多,系统性学习学习,然后多总结履历,更上一层楼。
(2.2)自动化渗透
自动化渗透必要掌握一门语言,且必要熟练运用,可以是任何一门自己已经掌握得很熟悉得语言,都可以,如果没有一门掌握很好的,那我保举学习 python,最主要原因是学起来简单,模块也比力多,写一些脚本和工具非常方便;
什么鬼?又要学习编程,刚才不是说了编程不是学习网络安全的必要条件,不懂自动化渗透也不影响入门和就业,但是会影响职业的发展,且学习 python 不必要掌握很多不必要的模块,也不必要开发成千上万行的代码,仅使用它编写一些工具和脚本,少则 10 几行代码,多则 1-200 行代码,一般代码量相对开发职员已经少得不能再少了,例如一个精简得域名爬虫代码核心代码就 1-20 行而已;
有的小伙伴可能又急了,那到底必要怎么学嘛?
几天时间学习一下 python 的语法,有代码基础得小哥哥和小姐姐,最快可能一天就可以学习完 python 的语法,由于语言都是相通的,但是学习语言最快的就是写代码,别无他法;接下来可以开始尝试写一些常见得工具,如爬虫、端口探测、数据包核心内容提取、内网活跃主机扫描等,此类代码网上一搜一大把;然后再写一些 POC 和 EXP 脚本,以靶场为练习即可;有的小伙伴可能又要问了,什么是 POC 和 EXP,自己度娘去,养成动手的好习惯;
(2.3)代码审计
什么鬼?又要看代码。此处内容要求代码本领比力高,因此如果代码本领较弱,可以先跳过此部分的学习,不影响渗透门路上的学习和发展。
但是如果盼望在 Web 渗透上必要走得再远一些,必要精通一门后台开发语言,保举 php,由于后台采用 php 开发的网站占据最大,固然你还精通 python、asp、java 等语言,那恭喜你,你已经具备很好的基础了;
代码审计顾名思义,审计别人网站大概系统的源代码,通过审计源代码大概代码环境的方式去审计系统是否存在漏洞(属于白盒测试范畴);
那详细要怎么学习呢?学习的详细内容按照顺序列举如下:
掌握 php 一些危险函数和安全设置;
熟悉代码审计的流程和方法;
掌握 1-2 个代码审计工具,如 seay 等;
掌握常见的功能审计法;(保举审计一下 AuditDemo,让你产生自大)
常见 CMS 框架审计(难度大);
**【保举册本】**代码审计有一本国外的册本《代码审计:企业级 Web 代码安全架构》,固然有空的时间可以去翻翻,建议还是在 b 站上找一套系统介绍的课程去学习;github 上找到 AuditDemo,下载源码,搭建在本地虚拟机,然后使用工具和审计方法,审计 AuditDemo 中存在的 10 个漏洞,难度分布符合正态分布,可以挑战一下;
至于 CMS 框架审计,可以去一些 CMS 官方网站,下载一些汗青存在漏洞的版本去审计,框架的学习使用官方网站的使用手册即可,如 ThinkPHP3.2 版本是存在一些漏洞,可以尝试读懂代码;但是切记不要一上来就看代码,由于 CMS 框架的代码量比力大,如果不系统先学习框架,根本属于看不懂状态;学习框架后能够具备写简单的 POC,按照代码审计方法结合工具一起审计框架;其实也没有想想中的那么难,如果你是开发职员转行的,恭喜你,你已经具备代码审计的天赋性优势。
那有的小伙伴又问了,我代码很差,不学习代码审计行不可,代码审计不是学习网络安全的必要条件,能够掌握最好,掌握不了也不影响后续的学习和就业,但你必要选择一个阶段,练习得更专业精通一些,如 web 渗透大概内网渗透,再大概是自动化渗透;
(3)内网安全
恭喜你,如果学到这里,你根本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;
如果想就业面更宽一些,技术竞争更强一些,必要再学习内网渗透相关知识;
内网的知识难度轻微偏大一些,这个和如今市面上的学习资料还有靶场有一定的关系;内网主要学习的内容主要有:内网信息网络、域渗透、署理和转发技术、应用和系统提权、工具学习、免杀技术、APT 等等;
不要和我说专业名词,叭叭叭叭叭叭!详细要怎么学?
**【保举册本】**这个问题有点大,呃呃呃呃呃呃!可以看《内网安全攻防:渗透测试实战指南》,这本誊写得还不错,国内为数不多讲内网的册本,以册本目录为主线,然后配合工具和靶场去练习即可;
那小伙伴又要问了,那去哪里可以下载到内网靶场!呃呃呃呃呃!这个难倒我了,如果你本领够强,电脑设置高,可以自己使用虚拟机搭建内网环境,一般必要 3 台以上的虚拟机;你也可以到国外找一些内网靶场使用,有一些收费的靶场还可以;
(4)渗透拓展
渗透拓展部分,和详细工作岗位接洽也比力紧密,只管要求掌握,主要有日志分析、安全加固、应急相应、等保测评等内容;此中重点掌握前三部分,这块的资料网络上也不多,也没有多少成型的册本资料,可通过行业相关的技术群大概行业分享的资料去学习即可,能学到这一步,根本上已经算入门成功,学习日志分析、安全加固、应急相应三部分的知识也相对较为容易。
方法 2:先学习 Web 渗透及工具,然后再学习编程
实用人群:代码本领很弱,大概根本没有什么代码本领,其他基础也比力差的小伙伴
那有的小伙伴就会问了,那你基础都不打好,怎么学习 Web 渗透?
基础部分还是要学习的,比如 linux 系统、计算机网络、一点点的 Web 框架、数据库还是必要提前掌握;
那像 php 语言、自动化渗透和代码审计部分内容,可以放在最后,当学习完毕前面知识后,也相当入门后,再来学习语言,相对会容易一些;
**【优先保举】**方法 2,对于小白来说,代码基础通常较弱,很多很多小白会倒在前期学习语言上,所以保举方法 2 的学习,先学习 web 渗透和工具,也比力有意思,容易保持一个高涨的学习动力和热情,详细学习内容我就不说了,请小伙伴们参照方法 1 即可。
给大家的福利
零基础入门
对于从来没有接触过网络安全的同砚,我们帮你预备了详细的学习成长门路图。可以说是最科学最系统的学习门路,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习门路
对于从来没有接触过网络安全的同砚,我们帮你预备了详细的
学习成长门路图
。可以说是
最科学最系统的学习门路
,大家跟着这个大的方向学习准没问题。
② 门路对应学习视频
同时每个成长门路对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
2️⃣视频配套资料&国内外网安册本、文档
① 文档和册本资料
② 黑客技术
因篇幅有限,仅展示部分资料
4️⃣网络安全面试题
5️⃣汇总
全部资料 ⚡️ ,朋友们如果有必要全套 《
网络安全入门+进阶学习资源包
》,
扫码获取~
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
回复
使用道具
举报
0 个回复
正序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
发新帖
回复
鼠扑
金牌会员
这个人很懒什么都没写!
楼主热帖
Java 基于Apache POI实现Excel读写操作 ...
子查询优化之 Semi-join 优化 | StoneD ...
Vulnhub之Medium Socnet详细测试过程 ...
C++中函数指针使用
二刷整合
C#生成putty格式的ppk文件(支持passph ...
.NET 使用 Coverlet 统计单元测试覆盖 ...
记一次SQL注入的收获
【pygame游戏】用Python实现一个蔡徐坤 ...
MongoDB - 副本集简介
标签云
挺好的
服务器
快速回复
返回顶部
返回列表