学习黑客十余年,如何成为一名安全工程师?
学习十余年的履历,最终我的心得是——决定大多数人是否可以或许学会这个技能的关键点,是对一些基本题目的明确是否准确。
我曾经问过很多学习黑客技能的初学者为什么要学习这个,我得到的最多答案就是“我要变得很牛逼”,然而至于如何才算牛逼呢,他们的答案是“如果我学会黑客技能,我就会怎么样怎么样”,而当你继续问要学习什么才能这么牛逼时,基本上就给问住了。
举例来说,如果小明以为“如果我要学会黑客技能,我就可以盗美女的QQ号啦”,那么如果小明是按照一个专业黑客的路线发展的话,小明首先必要做的就是要精通C语言。
而学习C语言与盗QQ这种工具流比起来,简直不知道要高级多少倍,因此自然也要更困难些,如许就会导致小明做着一件现实代价很高,但在小明看来却不值一提的事(C语言在小明心里远不及盗QQ高级),这种落差带来的认知失调最终会将你学习黑客技能的激情冲的一干二净。
因此,学习黑客技能的第一条铁律就是不要有止境头脑,深刻明确成长才是永恒的主题。
其次,是理想与代价的博弈。
懒惰是最容易容易让人们产生理想的行为。因为懒惰,以是不能得到,但是心田又无比渴求,以是只能通过理想来麻痹自己。
这里的理想可能是自己故意识的理想,也有可能是无偶然识的理想,乃至自己都不知道正处于理想中。
但是你大可不必为此而自责,最最少对于我来说,大概我通过观察四周的人而得出的结论,包括我在内的几乎所有人都在无时无刻的与懒惰做着斗争,例如“事故太多”、“这太难了”、“没有灵感”等等都是因懒惰而产生的幻觉。
因此,任何一位你眼中的大牛无不是通过了无数次与懒惰的殊死博弈才取得的本日的成绩。
因此,你要知道,只有你真正俯下身子去一点点的学习知识,才会使得你离黑客越来越近。
但可骇的是,大多数初学者并不懂得这些,他们在心田深处始终都以为有那么一种灵丹妙药可以让他在更短的时间内掌握黑客技能,从而去花费数倍于所谓的“更短时间”的时间去寻求这本就不存在的方法。
因此,学习黑客技能的第二条铁律就是不要抱有任何理想、任何偷奸取巧,只要你决定这条路是自己去走,那么无论你如何探求奇技淫巧,最终都不会让你少走半步。
最后,是浮躁与耐心的博弈。
包括我在内的绝大多数人,在制定目的时都会高估自己的精力、高估自己的效率、高估自己的智商,乃至高估自己对此事的爱好。
这一系列的高估会在学习后半段严峻干扰我们的学习效果,那种现实与理想的差距会导致你对自己能力的认知失调,进而过低的估计自己各方面能力,最终导致失败。
因此,学习黑客技能的第三条铁律就是时刻葆有对低效率的自己的耐心。
要考虑的题目
想要做任何事故之前,一定要想清楚三个题目,分别是你为什么要做,你愿意为此付出什么,你想要的结果是什么。
而所谓的智慧,就是一个人通过这种方式不停的调整自己对于各种事故的预期,从而达到一种与外界的均衡。
如果将这个思路映射到黑客学习这件事上,大要可以分为如下三个题目。
首先,要考虑清楚你为何要学这个。
说白了就是你的动机是什么,如果你的动机是不可持续的,例如盗个扣(乃至是挖个体系级0Day毛病),那么我建议你将自己的动机修改为可持续的,例如你想保持一项什么记录(乃至是让其他人更加恭敬你),因为这类动机是在不停变换的,只有这类动机才能让你有一个更加长久的动力源泉,才能促使你坚持的更久,也就能取得更大的成绩。
其次,要考虑明确你可以付出什么。
你要清楚的是,任何事故都是有代价的,而且如果你此时的年龄越小,你那么你对“代价”的明确就越不深刻,这点一定要着重加以注意。
黑客技能是一件非常有魅力、非常有代价,同时也是非常酷的一件事,但是这么有魅力的事故,如果你想要完成它,要么必要极佳的运气,要么就是必要你付出非人的努力。
举例来说,最近我们经常看到媒体在报道时说国内某构造的某黑客在几秒内就攻破了IE浏览器,在几秒内就绕过了XX保护机制。但究竟的本相是他们实在就是运行了一个自己预备好的代码而已,而媒体上说的这几秒钟的时间实在是代码的运行时间。
据我所知,他们在参赛之前,整个团队为了这几秒钟的ShowTime,必要经历至少十余个乃至数十个不眠之夜,然后才能打造出可能仅有几百个字节的艺术品般的代码(也就是Exploit),最后才能拿去现场过五关斩六将。
如果在这个十三亿人口的国度里最牛逼的黑客都必要云云付出,那么作为现在默默无闻的你来说,想要学会这门技能应该必要多少个不眠之夜呢?
最后,要考虑你的学习方向是什么。
信息安全领域的方向太多了,如果最粗旷的分,大致可以分为 网络安全 、 软件安全 、 基****础安全 这三类。
其中网络安全包括网络渗透、通讯安全、电信安全等,软件安全包括授权控制、毛病挖掘、加密解密等,基础安全分为理论安全、暗码学等。
我收到的最多的、也是令我最郁闷的题目就是“你的那幅图我已经看了,但是我想知道我应该怎么学呢?或是从那边开始呢?”
是的,你没看错,纵然我这幅图获得了超乎想象的关注,但是仍有很大一部门人似乎并没有因为这个世界上多出这幅贵重的图而获得什么,他们仍旧是迷茫的,固然,这也并不能全怪他们。
所有人的成长都是从知道自己不必要什么东西开始的,举例来说,几乎95%以上的大弟子实在根本就不知道自己想要什么,只知道自己不想要什么,这实在就是不成熟的一种表现,用我们那个方言讲就是“青瓜蛋子”。
那么“青瓜蛋子”们最必要的是什么呢?就是先辈们的引导,告诉他们,他们真正的需求是什么,然后他们名顿开,似乎这就真的是他们此时所最必要的东西了。
而就大多数事故而言,根本没那么复杂,随意挑选一个你最感爱好的方向就好了;如果挑不出来,那就随意挑一个你感觉自己最擅长的;如果还挑不出来,那就挑一个你感觉最顺眼的即可。
学习信息安全技能犹如做其他事故一样,最终如果你要想有所成绩,必然是登上这个领域数座高峰的强者,然而你一开始并不能做到这一点,因此最简单的方法就是任意挑选一座不是太低的山峰蹬一蹬试试看。
因为只要你能登上其中的一座山峰,就能一览众山小,就掌握了快速登顶相邻山峰的方法。
学习信息安全技能同样云云,你应该想找一个不是太浅的方向(例如渗透就有些浅)深入研究下去,等你将这个领域彻底研究明确后,其他方向的技能自然就能触类旁通了。
网络安全学习路线&学习资源
网络安全的知识多而杂,怎么科学合理安排?
下面给各人总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你根本差,如果能趁着网安良好的发展势头不停学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①相识行业相干背景,远景,确定发展方向。
②学习网络安全相干法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常紧张)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息网络技能:主动/被动信息搜集、Nmap工具、Google Hacking
③毛病扫描、毛病利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操纵体系基础(一周)
①Windows体系常见功能和命令
②Kali Linux体系常见功能和命令
③操纵体系安全(体系入侵排查/体系加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通讯原理、OSI模型、数据转发流程
③常见协议剖析(HTTP、TCP/IP、ARP等)
④网络攻击技能与网络安全防御技能
⑤Web毛病原理与防御:主动/被动攻击、DDOS攻击、CVE毛病复现
5、数据库基础操纵(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web毛病扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相干的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
【“脚本小子”成上进阶资源领取】
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在现实的渗透测试过程中,面对复杂多变的网络情况,当常用工具不能满足现实需求的时间,往往必要对现有工具进行扩展,大概编写符合我们要求的工具、主动化脚本,这个时间就必要具备一定的编程能力。在分秒必争的CTF比赛中,想要高效地利用自制的脚本工具来实现各种目的,更是必要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发情况和选择IDE,PHP情况推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写毛病的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客体系; 熟悉MVC架构,并试着学习一个PHP框架大概Python框架 (可选); ·相识Bootstrap的布局大概CSS。
8、超级网工
这部门内容对零基础的同学来说还比较遥远,就不睁开细说了,贴一个大概的路线。感爱好的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,各人也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
必要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),各人也可以一起学习交流一下。
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正直,我国的人才更多的属于歪路左道(很多白帽子可能会不平气),因此在未来的人才培养和创建上,必要调整布局,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“主动化”的“体系、创建”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技能分享!本书的目的决不是为那些怀有不良动机的人提供及技能支持!也不承担因为技能被滥用所产生的连带责任!本书的目的在于最大限度地叫醒各人对网络安全的重视,并接纳相应的安全措施,从而减少由网络安全而带来的经济损失!!!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |