我敢说,现在网上90%的文章都没有把网络安全该学的东西讲清楚。
为什么?因为全网更多的都是在讲如何去渗透和公鸡,却没有把网安最注重的防御讲明白。
老话说得好:“攻击,是为了更好的防御。”如果连初衷都忘了,网络只会越来越不安全,谈何网络安全!
于是最近我把网络安全的攻守技术做了整理,结合我自己20年来的经验,写成这篇文章,从入门到进阶的该学哪些东西,我都会讲清楚,这应该是全网最新最全的白帽子黑客技术了。
按照业界的惯例,喜欢分红蓝对抗,那么我也分红蓝,把攻守技术给大家讲明白。
1.第一阶段:基础入门–红队
红队的任务是攻击,这应该是大家最喜欢的黑客技术了。
作为新手,入门应该学习哪些东西?
- 网络安全(保密法等等,属于软实力,这方面我就不细说了)
- 渗透测试基础(具体技术如下:)
什么是渗透测试?
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,是指渗透人员在不同的位置利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。
网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题
那么渗透测试该学哪些东西?我给大家列举一下:
- 网络基础
- 操作系统基础
操作系统肯定要熟悉Linux,不会Linux的白帽子都只能算脚本小子。
- WEB安全基础
WEB更多指的是网站,这方面是入手比较适合的。
(1)什么是Web漏洞?
通俗讲指网站程序上的漏洞。WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。
(2)渗透测试工具
网站方面的渗透测试工具起码得掌握这几个:
- 数据库基础
什么是数据库?可以理解为指的是存储数据的软件,要掌握的东西是Excel MySQL、Oracle或SQLServer。
- 编程语言
编程语言目前学2个就可以了,一个是python,一个是PHP。前者实现功能方便快捷,后者是网站搭建比较惯用的。
这2个语言学点基础的就可以了,比如函数、字符串、字典、面向对象、模块等等。
- CTF比赛
学到了这里,你的技术就已经算入门了,可以去试试打CTF比赛了。
每年有大大小小几百场网络安全攻防演习比赛,比赛大部分都设有奖金,奖金从3000到 100000不等。如HVV、网鼎杯、全国大学生网络安全精英赛、湖湘杯、粤盾杯、强网杯、天府杯等等。
全国每年有上五十场CTF比赛,比赛全部都设有奖金,奖金从4000到200000不等,并且 还会颁发具有当地教育部门的证书。
路给大家指明白了,如果你没有学习资源的话,我这边有一些私藏的干货,从入门到进阶的视频和技术文档都有,可以共享
第二阶段:技术进阶–红队
网络安全红队技术的进阶的重点在漏洞和注入方面,应该掌握以下几个:
-
弱口令与口令爆破(弱口令指的是简单的密码,口令爆破指的是密码破解)
-
XSS漏洞
-
CSRF漏洞
-
SSRF
-
XXE漏洞
- SQL注入
- 任意文件操作漏洞
- 业务逻辑漏洞
如果你的技术能到第二阶段这里,那么去外面找个年薪25K以上的网安工作问题不大,可以算得上是一个厉害的白帽子黑客了。
红队的技术还没有写完,但篇幅有限,下一篇文章我来专门讲红队的高阶提升,比如说内网渗透和恶意代码之类的。
当然了,后面我还会继续更新蓝队的技术,朋友们如果对网络安全/白帽子感兴趣的话,可以关注我一下。
