写这篇文章的初衷是很多朋友都想了解如何入门/转行网络安全,实现自己的“黑客梦”。文章的宗旨是:
1.指出一些自学的误区
2.提供客观可行的学习路线
3.推荐我认为适合小白学习的资源.大佬绕道哈!
1.什么是网络安全
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的
网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
2.怎样规划网络安全
如果你是一个安全行业新人,我建议你先从网络安全或者Web安全/渗透测试这两个方向先学起,一是市场需求量高,二则是发展相对成熟入门比较容易。
值得一提的是,学网络安全,是先网络后安全;学Web安全,也是先Web再有安全。
安全不是独立存在的,而是建立在其他技术基础之上的上层应用技术。脱离了这个基础,就很容易变成纸上谈兵,变成“知其然,不知其所以然”,在安全的职业道路上也很难走远。
如果你是原本从事网工运维,那么可以选择网络安全方向入门;如果你原本从事程序开发,推荐选择Web安全/渗透测试方向入门。当然学到一定程度、或者有了一定工作经验,不同方向的技术耦合会越来越高,各个方向都需要会一点。
根据以上网络安全技能表不难看出,网络安全需要接触的技术还远远很多,常见的技能需要学习:外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、
漏洞挖掘能力、代码审计能力等。
3.网络安全的知识多而杂,怎么科学合理安排?
(注:列举的内容是从入门到精通的知识点,除了基础阶段外的其他阶段大家可以根据自己的兴趣和喜好来选择学习,不需要全部都学)
一、安全基础
- 网络安全行业与法规(包含23个知识点)
- Linux操作系统(包含81个知识点)
- 计算机网络(包含27个知识点)
- HTML基础(包含9个知识点)
- PHP基础(包含11个知识点)
- MySQL基础(包含13个知识点)
- Python基础(包含17个知识点)
二、渗透初级
- 信息收集(包含7个知识点)
- Web安全(包含13个知识点)
- 渗透工具(包含9个知识点)
- 漏洞挖掘(包含4个知识点)
- 漏洞复现(包含3个知识点)
三、渗透高级
- 渗透框架(包含3个知识点)
- 权限提升(包含4个知识点)
- 权限维持(包含6个知识点)
- 隧道技术(包含7个知识点)
- 内网渗透(包含7个知识点)
- 取证溯源(包含4个知识点)
- DDos攻防(包含5个知识点)
- 无线安全(包含16个知识点)
- 社会工程学(包含8个知识点)
- ARP渗透(包含7个知识点)
四、安全管理
- 等级保护(包含7个知识点)
- 风险评估(包含11个知识点)
- 应急响应(包含7个知识点)
- 数据安全(包含6个知识点)
- 云安全(包含6个知识点)
五、代码审计
- JavaSE入门(包含6个知识点)
- JavaSE中阶(包含7个知识点)
- JavaSE进阶(包含7个知识点)
- Java代码审计(包含5个知识点)
- PHP代码审计(包含5个知识点)
六、二进制安全
- 汇编(包含22个知识点)
- C语言(包含11个知识点)
- C++(包含9个知识点)
- Windows逆向(包含10个知识点)
- Android逆向(包含7个知识点)
- 免杀-反杀毒技术(包含20个知识点)
- Webjs逆向(包含14个知识点)
七、编程进阶
- H5+CSS(包含8个知识点)
- Shell编程(包含14个知识点)
- Golang(包含14个知识点)
https://mp.weixin.qq.com/s?__biz=MzkwNDI0MDc2Ng==&mid=2247483680&idx=1&sn=e1666c9a4a67f1222d90780a0ed619b8&chksm=c08b4a31f7fcc327deef435a30bfc550b33b5975f2bcc18dfb2ee20683da66025c68253a4c79#rd4.推荐书籍
- 《 Kali Linux 渗透测试学习清单 》
- 《 白帽子讲 Web 安全 》
- 《 Web 安全深度剖析 》
- 《 Metaspolit 渗透测试魔鬼训练营》、
- 《 Web 前端安全揭秘 》
- 《 黑客攻防技术宝典 Web 实战篇 》
- 《 SQL注入攻击注入攻击与防御 》
- 《 XSS跨站脚本攻击剖析与防御 》
5.网站推荐
- 安全技术论坛:如FreeBuf、看雪学院、i春秋论坛等,提供丰富的网络安全资讯、技术文章和实战分享。
- Mooc平台:如Coursera、网易云课堂、慕课网等,提供网络安全相关的在线课程和实验环境。
- Youtube频道:如HackerSploit、thenewboston等,推出网络安全技术教程和实践分享。
6.工具推荐
- Wireshark:数据包捕获和分析工具,可以用于分析网络流量和协议,对于理解网络通信和网络安全非常有帮助。
- Nmap:网络扫描工具,可以用于快速扫描目标主机的端口和服务,发现网络中的漏洞和弱点。
- Metasploit:渗透测试工具,包含了很多常用的攻击模块和漏洞利用代码,可以用于测试系统的安全性。
- Burp Suite:Web应用程序渗透测试工具,可以用于拦截、修改和发送HTTP请求,分析Web应用程序的漏洞。
- Hydra:密码破解工具,可以用于破解常用的用户名和密码,测试系统的强密码策略和用户认证机制。
7.安全行业常见的一些职业和岗位:
- 安全工程师:负责网络安全系统的规划、设计、实施和维护,确保网络系统的稳定和安全。
- 安全研究员:负责对安全漏洞、威胁情报等进行研究和分析,提供安全咨询和解决方案。
- 渗透测试工程师:利用黑客手段测试网络系统和应用程序的安全性,并提供相关的漏洞修复建议。
- 安全顾问:负责为客户提供安全咨询和解决方案,评估客户的安全风险和威胁情况,提出安全建议和措施。
- 安全分析师:负责对安全事件进行分析和响应,快速发现和处理网络安全问题,防止安全事件扩散和影响。
- 安全管理员:负责网络安全设备的管理和维护,监控网络安全情况,及时发现和解决安全问题。
- 安全运营工程师:负责安全运营体系的建设和管理,规范安全运营流程,提高安全运营效率。
- 安全产品经理:负责安全产品的研发和市场营销,了解市场需求和客户反馈,不断优化产品性能和功能。
- 安全法律顾问:负责安全法律事务和合规管理,评估和规避安全法律风险,提供安全法律咨询和服务。
- 安全教育培训师:负责安全培训课程的设计和授课,提高员工的安全意识和技能,加强企业安全文化建设。
8.安全行业常见的一些考证:
- CISSP:Certified Information Systems Security Professional,国际信息系统安全专业人士认证,是全球认可度最高的信息安全专业认证之一,认证对象为信息安全专业人员。
- CEH:Certified Ethical Hacker,认证的主要内容为黑客技术和安全防护技术,是国际上比较著名的黑客技术认证之一。
- CISM:Certified Information Security Manager,信息安全经理认证,主要考察信息安全管理方面的知识,包括信息安全规划、风险管理、安全运营和安全治理等。
- CISA:Certified Information Systems Auditor,信息系统审计师认证,主要考察信息系统审计和控制方面的知识,包括信息系统安全管理、风险评估和合规性审计等。
- CompTIA Security+:CompTIA安全+认证,是国际上颇有影响力的入门级信息安全认证之一,主要考察安全基础知识和技能。
- OSCP:Offensive Security Certified Professional,是一项针对渗透测试和漏洞利用的认证,需要进行一系列实践测试和考核。
- GPEN:GIAC Penetration Tester,是国际上著名的渗透测试认证,主要考察网络渗透测试技能。
- GCIH:GIAC Certified Incident Handler,是GIAC公司针对安全事件响应方面的认证,主要考察安全事件响应和处置的能力。
总结
在学习网络安全过程中,需要耐心和持续的努力。这份学习路线是一个比较全面的指南,但并不是唯一的正确方法。在学习的过程中,还需要注重实践和掌握新技术,不断拓展自己的知识和技能,才能更好地适应安全领域的快速发展。希望这份学习路线能够帮助你入门网络安全,并在未来的职业生涯中获得更多的成长和发展。