网络安全的前景如何,其实大家都知道,但是入行很大程度还是兴趣。
“兴趣是最好的老师”这句话并不泛泛,但捕捉和保护孩子兴趣的那个人更为重要。作为一个学习者的心思很多时候稍纵即逝,也不稳定。能把一种兴趣稳定下来并变成了解某一种领域的巨大动力,兴趣才具备了作为起点的真正意义。
迷茫不知所措的人可以仔细阅读完来解一解惑。想30天零基础入门网络安全,这些你一定要搞清楚。
一、学习网络安全容易造成的误区
1、把编程当作目的,忽略了它的工具职能
我和身边每个学习网安的人都说过:千万不要抱着“以编程为目的,再开始学习网络安全”的心态。
由于网络安全行业的特殊性,零基础就想把编程学好耗费的时间太长,会导致向安全过渡后可用的关键东西并不多。程序员是程序员,网络安全工程师是网络安全工程师,不能混为一谈。学习网络安全,太重视语言,那就有点本末倒置了,在网络安全行业,对安全问题原理的理解和分析的重要性是远远大于学习语言。
学习网络安全的过程中,要有目的的学习,哪里不会补哪里,达到更精准的学习目的。
2、学习过猛,没有计划
学习网络安全当然是要稳扎稳打,很多人都知道,但是真正开始学时就用力过猛,恨不得把所有东西都学进去,却导致了囫囵吞枣。在自学时,不太建议大面积泛学,而是要找到定位和精准的学习方向,不然那很容易半途而废。
二、学习网络安全的基本准备与条件
1、语言知识
网络安全的范围很广,具体学什么语言要看自己的方向。如果你选择的是web安全方向,你需要学php,jsp,javascipt等,如果你选择的是二进制方向,你需要学习汇编,C,C++等,但是有一门语言在安全领域是通用的,那就是Python,因为很多时候都需要使用Python来快速实现原型。
2、英语基础与专业名词
计算机发明者源于西方,所以计算机语言基本都是英文,一些相关的教程最初也是英文原版,并且会用到一些相关的专业名词,所以学习网络安全,需要一定量的英文和黑客专业名词,这样在与其他同行交流技术时,不至于出现“沟通障碍”。
有一些初学者,到现在都还不知道“肉鸡”是什么意思,这能看懂技术交流贴吗?
三、网络安全学习路线
第一阶段:基础操作入门,学习基础知识
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在1个月左右比较合适。
在这个阶段,你已经对网络安全有了基本的了解。如果你学完了第一步,相信你已经在理论上明白了上面是SQL注入,什么是xss攻击,对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!
所谓的“打地基”其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备5个基础知识模块:
1.操作系统
2.协议/网络
3.数据库
4.开发语言
5.常见漏洞原理
学习这些基础知识有什么用呢?
计算机各领域的知识水平决定你渗透水平的上限。
【1】比如:你编程水平高,那你在代码审计的时候就会比别人强,写出的漏洞利用工具就会比别人的好用;
【2】比如:你数据库知识水平高,那你在进行SQL注入攻击的时候,你就可以写出更多更好的SQL注入语句,能绕过别人绕不过的WAF;
【3】比如:你网络水平高,那你在内网渗透的时候就可以比别人更容易了解目标的网络架构,拿到一张网络拓扑就能自己在哪个部位,拿到以一个路由器的配置文件,就知道人家做了哪些路由;
【4】再比如你操作系统玩的好,你提权就更加强,你的信息收集效率就会更加高,你就可以高效筛选出想要得到的信息
第二阶段:实战操作
1.挖SRC
挖SRC的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,而SRC是一个非常好的技能应用机会。
2.从技术分享帖(漏洞挖掘类型)学习
观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维
3.靶场练习
自己搭建靶场或者去免费的靶场网站练习,有条件的话可以去购买或者报靠谱的培训机构,一般就有配套的靶场练习
第三阶段:参加CTF比赛或者HVV行动
推荐:CTF比赛
CTF有三点:
【1】接近实战的机会。现在网络安全法很严格,不像之前大家能瞎搞
【2】题目紧跟技术前沿,而书籍很多落后了
【3】如果是大学生的话,以后对找工作也很有帮助
如果你想打CTF比赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料
推荐:HVV(护网)
HVV有四点:
【1】也能极大的锻炼你,提高自身的技术,最好是参加每年举行的HVV行动
【2】能认识许多圈内的大佬,扩大你的人脉
【3】HVV的工资也很高,所以参加的话也能让你赚到不少钱
【4】和CTF比赛一样如果是大学生的话,以后对找工作也很有帮助
四、学习资料的推荐
书单推荐:
计算机操作系统:
【1】编码:隐藏在计算机软硬件背后的语言
【2】深入理解操作系统
【3】深入理解windows操作系统
【4】Linux内核与实现
编程开发类:
【1】 windows程序设计
【2】windwos核心变成
【3】Linux程序设计
【4】unix环境高级变成
【5】IOS变成
【6】第一行代码Android
【7】C程序语言设计
【8】C primer plus
【9】C和指针
【10】C专家编程
四、明确目标,定位以后的方向
学习网络安全,目标的明确是极其重要的,因为它的岗位很多,方向也不一样。有的人只是想打CTF比赛,而有的是为了找到好岗位。网络安全传统的安全岗位就包含了:安全产品工程师、安全咨询师、渗透测试工程师、安全开发工程师、安全运维工程师、应急响应工程师、等级保护测评师,这还不包括其他小众岗位。目标不同,路线与规划自然是不一样的。
谈谈自学网络安全的缺点
很多对网络安全感兴趣的小白,或有一定经验的it从业人员在刚开始时,都是选择自己自学一段时间,但是毫无例外的,最后却都放弃了自学,选择了网络安全培训机构。
那么这是为什么呢?究其原因是因为网络安全自学缺点太多,比不了网络安全培训机构来的有效。
网络完全这一行3大特殊性:专业细分多、技术性强、实操性强。网络安全不适合纸上谈兵,自学说白就是徒劳。当然自律性强、天赋极高的另说。
网络安全自学的缺点:
1、难接触到真实的网络对抗环境来实操,电信级的产品和设备那更不用想;
2、学的知识片面化,没有专业的教程来配套企业化,在就业上依旧迷茫。
3、遇到不懂的地方没有指导,漏掉太多细节。
4、没有好的氛围共同成长。
所以最后建议,如果你想学习网络安全,一定不要盲目的自学,如果只是想简单的入门了解网络安全,自学没有问题,如果想深入的学习,建议选择一个好的网络安全培训机构。
我下面也给大家整理了一些网络安全的资料,大家不想一个一个去找的话,可以参考一下这些资料哈
这份完整版的网安学习资料已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码或者点击链接免费领取【保证100%免费】
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费领取 
https://mp.weixin.qq.com/s/rB52cfWsdBq57z1eaftQaQ
