本人是一名敲了5年半代码的网络安全工程师,目前在杭州工作,月薪目前是在30.6K左右,经历过两次跳槽,第一次跳槽拿到了12K的offer,第二次跳槽拿到18K的offer。一直到目前为止的30K左右。
说到这里再给大家提个醒,跳槽的时候切记没拿到下家的offer千万不要想着裸辞,不然你就会面临个特别尴尬的处境,具体也就不细说了,懂的人自然懂!
下面来介绍介绍自己的经历
本人上的大专(后来自学考了本科)在学校是学旅游的,接触过工业编程。临近毕业的时候选择了网络安全技术,因为嫌弃导游太累了且不讨好,所以我就给辞了,说实在话,作为90后的我,还是喜欢做办公室的工作,有空调吹,我很现实,就是想多赚一点钱。
今天通过这篇文章,其实只是希望给大家分享一下我学习的心得,因为我非常清楚自学会走很多弯路,所以希望可以通过自己的经历,让大家稍微少走一点弯路,早日把技术学成。
开始时有一个很重要的问题就是随时都可能出现学习心态爆炸的问题,主要是因为遇到一个问题无法解决,自己琢磨了五六个小时都看不出是什么问题,一天的时间都花在这个小问题上面,就会觉得自己笨,自己不行,对自己产生了严重的怀疑。而这种情况几乎是每天都发生,因为自己从未接触过这方面的知识,所以根本找不出问题在哪里。我的解决方案是在网上找了一个大牛做师傅,有问题可以去问他一下,基本上一个问题在五分钟之内就可以解决,大大地提高了学习的效率,当时我的一个想法是,无论做什么,前期真的都需要一个有经验的人带一带,不然自己一个人很容易钻牛角尖,走入一个误区出不来。
如果找不到技术大牛带你的话,我个人认为参加培训班是新手入门最快的一条捷径,选择培训机构前一定要看一下他们的课程大纲,最好网络基础板块,web渗透板块,Kali和Linux都要涉及到,实战的话如果能有攻防平台和靶机,而且能提供真实网站授权作为渗透测试支撑就更好了。
新入行小白如何学习网络安全
作为在网络安全行业工作了近5年,各种岗位都做过一遍的“资深程序员”来告诉你,网络安全不难,网络安全入门更简单!可不要被它神秘的外衣给唬住了。
只要你接下来认真听完我的讲解,虽然保证不了你能成为大神,但就算你学习能力再差那也能达到入门级别。
进入正题
01.简单了解网络安全
说白了,网络安全就是指网络系统中的数据受到保护不被破坏。而我们从事网络信息安全工作的安全工程师,主要工作当然是设计程序来维护网络安全了。
网络安全工程师是一个统称,还包含很多职位,像安全产品工程师、安全分析师、数据恢复工程师、网络构架工程师、网络集成工程师、安全编程工程师等等。
所有工作内容包括安全评测、风险评估、安全服务、防火墙、入侵检测、云防护、系统攻防、代码审计等等。
当然了,这些职位跟你现阶段并没有什么关系,我只是想让你知道网络安全这个行业也是大有天地的。而你现在要做的是学好入门知识,等将来某一天,或许你就能接触到了。
02.网络安全入门学习路线
第一阶段:基础操作入门,学习基础知识
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在1个月左右比较合适。
在这个阶段,你已经对网络安全有了基本的了解。如果你学完了第一步,相信你已经在理论上明白了上面是SQL注入,什么是xss攻击,对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!
所谓的“打地基”其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备5个基础知识模块:
1.操作系统
2.协议/网络
3.数据库
4.开发语言
5.常见漏洞原理
学习这些基础知识有什么用呢?
计算机各领域的知识水平决定你渗透水平的上限。
【1】比如:你编程水平高,那你在代码审计的时候就会比别人强,写出的漏洞利用工具就会比别人的好用;
【2】比如:你数据库知识水平高,那你在进行SQL注入攻击的时候,你就可以写出更多更好的SQL注入语句,能绕过别人绕不过的WAF;
【3】比如:你网络水平高,那你在内网渗透的时候就可以比别人更容易了解目标的网络架构,拿到一张网络拓扑就能自己在哪个部位,拿到以一个路由器的配置文件,就知道人家做了哪些路由;
【4】再比如你操作系统玩的好,你提权就更加强,你的信息收集效率就会更加高,你就可以高效筛选出想要得到的信息
第二阶段:实战操作
1.挖SRC
挖SRC的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,而SRC是一个非常好的技能应用机会。
2.从技术分享帖(漏洞挖掘类型)学习
观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维
3.靶场练习
自己搭建靶场或者去免费的靶场网站练习,有条件的话可以去购买或者报靠谱的培训机构,一般就有配套的靶场练习
第三阶段:参加CTF比赛或者HVV行动
推荐:CTF比赛
CTF有三点:
【1】接近实战的机会。现在网络安全法很严格,不像之前大家能瞎搞
【2】题目紧跟技术前沿,而书籍很多落后了
【3】如果是大学生的话,以后对找工作也很有帮助
如果你想打CTF比赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料
推荐:HVV(护网)
HVV有四点:
【1】也能极大的锻炼你,提高自身的技术,最好是参加每年举行的HVV行动
【2】能认识许多圈内的大佬,扩大你的人脉
【3】HVV的工资也很高,所以参加的话也能让你赚到不少钱
【4】和CTF比赛一样如果是大学生的话,以后对找工作也很有帮助
四、学习资料的推荐
网络安全领域就像是一棵硕果累累的参天大树,底下站着无数观望者,他们都声称自己喜欢网络安全,想上树摘果,但面对时不时垂下来的藤枝,他们却踌躇不前,犹豫不决。
实际上,只要任意抓住一根藤枝,都能爬上这棵树。
大部分人缺的,就是这么一个开端。
这份完整版的网安学习资料已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码或者点击链接免费领取【保证100%免费】
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费领取
https://mp.weixin.qq.com/s/rB52cfWsdBq57z1eaftQaQ
