어젯밤은 정말 화나게 했어요.
항상 네트워크 보안에 관심이 있었고 이를 미래의 진로 방향으로 활용하고자 하는 사람들을 위한 것입니다.
걱정하지 마세요. 일과 학업의 균형을 선택하고 단계적으로 네트워크 보안 분야로 전환해 보십시오.
그렇다면 네트워크 보안에 대해 무엇을 배워야 할까요?
(1) 기본 부품
기본 부분은 다음을 배워야 합니다.
(1.1) 컴퓨터 네트워크:
OSI, TCP/IP 모델, 네트워크 프로토콜, 네트워크 장비의 작동 원리 등 학습에 중점을 두고 다른 내용을 빠르게 읽습니다.
(1.2) Linux 시스템 및 명령:
현재 시장에 나와 있는 대부분의 웹 서버는 Linux 시스템에서 실행되므로 웹 시스템에 침투하는 방법을 배우려면 최소한 Linux 시스템에 매우 익숙해야 하며 일반적인 운영 명령을 배워야 합니다.
학습 제안: 공통 명령의 10% 정도를 학습하면 90%의 작업 시나리오에 적용됩니다.사무용 소프트웨어와 같이 가장 일반적으로 사용되는 기능의 10%를 마스터하십시오.기본적인 일상 사용에는 문제가 없습니다.그렇지 않으면 알아 두니앙으로 가세요; 일반적인 리눅스 명령어는 50-60개 뿐이고, 많은 초보자들이 명령어를 모두 삼켜서 배우지만 기억하지 못합니다! ! ! ! 이 학습 방법도 잘못되었습니다.
(1.3) 웹 프레임워크:
웹 프레임 워크의 내용에 익숙하고 프론트 엔드 HTML, JS 및 기타 스크립팅 언어로 충분하며 백엔드 PHP 언어가 핵심 학습입니다. 개발 아이디어에 따라 언어를 배우지 말고 최소한 php의 요구 사항은 코드를 읽을 수 있다는 것입니다. 물론 작성하는 것이 가장 좋습니다. 하지만 개발이 아니라 개발이 아니라 개발이 아니라 중요한 것을 세 번 말합니다.
(1.4) 데이터베이스:
당신은 SQL 문법을 배워야 하고 공통 데이터베이스 MySQL을 사용하여 해당 데이터베이스 구문을 배워야 합니다.동일합니다.당신은 일부 고급 SQL 구문을 이해할 수 있습니다.너무 깊이 배우십시오.
(2) 웹 보안
(2.1) 웹 침투
OWASP 상위 10개 이상의 일반적인 웹 취약점의 원리, 활용, 방어 및 기타 지식 포인트를 마스터한 다음 특정 사격장 연습과 일치시킵니다. 더 권위 있는 책, 스테이션 b의 무료 비디오 시스템으로 학습한 다음 오픈 소스 사격장을 사용하여 연습을 지원합니다.
[추천 사격장] 깃허브 플랫폼에서 일반 사격장 검색 가능 DVWA, bWAPP, upload-labs-master, SQL-lib-master, WebBug, pikachu 등 추천 사격장 일부는 종합 사격장 , 그리고 일부는 특정 취약성 사격 범위 전용입니다.
(2.2) 도구 학습
웹 침투 단계에서는 여전히 필요한 도구를 마스터해야 합니다. 도구를 배우기 위해 스테이션 b에 많은 비디오가 있습니다. 잘 설명된 비디오를 선택하여 시청하십시오. 하나의 도구로 많은 비디오를 보지 마십시오. 대부분의 비디오는 반복적이고 시간을 낭비합니다. ;
마스터할 주요 도구 및 플랫폼: **burp, AWVS, Appscan, Nessus, sqlmap, nmap, shodan, fofa, 프록시 도구 ssrs, hydra, medusa, airspoof 등 오픈 소스 촬영 범위, 충분합니다.
연습이 거의 다 되어가네요 SRC플랫폼에 가서 실제 사이트에 침투해서 돌파구가 있는지 확인하면 됩니다 WAF를 우회하는 것과 관련이 있다면 WAF를 우회하기 위해 특별히 공부해야 합니다 자세가 많지 않습니다 체계적으로 배우고 그런 다음 더 많은 경험을 더 높은 수준으로 요약합니다.
(2.2) 자동 침투
자동화된 침투는 언어를 숙달해야 하고, 능숙하게 사용해야 합니다. 이미 익숙한 언어라면 무엇이든 될 수 있습니다. 하나를 잘 구사하지 못한다면 파이썬을 배우는 것이 가장 큰 이유입니다. 배우기 간단해 보이고 많은 모듈이 있으므로 일부 스크립트와 도구를 작성하는 것이 매우 편리합니다.
도대체? 프로그래밍도 배워야지 프로그래밍은 네트워크 보안 학습에 필요조건이 아니라고 하지 않았나요? 그리고 파이썬을 배우는 것은 많은 불필요한 모듈을 마스터할 필요가 없으며 경력 개발에 영향을 주지도 않습니다 수천 줄의 코드를 개발해야 하며 일부 도구와 스크립트를 작성하는 데만 사용하십시오. 1-200줄의 코드, 일반 코드의 양은 개발자의 양보다 훨씬 적습니다.
어떤 친구들은 또 불안해 할 수 있는데 어떻게 배워야 할까요?
파이썬의 문법을 배우는데 며칠이 걸립니다. 언어를 배우는 방법은 다른 방법 없이 코드를 작성하는 것입니다. 그런 다음 크롤러, 포트 감지, 데이터 패킷 코어 콘텐츠 추출, 인트라넷 활성 호스트 스캐닝 등과 같은 몇 가지 일반적인 도구를 작성하려고 시도할 수 있습니다. 온라인으로 검색할 수 있습니다. 그런 다음 POC 및 EXP를 작성하세요. 스크립트의 경우 사격장을 연습으로 사용하세요. 일부 친구는 POC와 EXP가 무엇인지 다시 물어봐야 할 수 있습니다. 직접 가서 좋은 습관을 기르십시오. 그것;
(2.3) 코드 감사
도대체? 코드를 다시 보세요. 여기에 있는 콘텐츠는 상대적으로 높은 코딩 능력을 요구하므로 코딩 능력이 약한 경우 침투의 길에서 학습 및 개발에 영향을 주지 않고 이 부분을 먼저 건너뛸 수 있습니다.
하지만 웹 침투를 더 진행하려면 백엔드 개발 언어에 능숙해야 합니다 백엔드에서 php로 개발한 웹 사이트가 가장 많기 때문에 PHP를 권장합니다. ASP, Java 및 기타 언어, 축하합니다. 이미 좋은 기반을 가지고 있습니다.
코드 감사는 이름에서 알 수 있듯이 다른 사람의 웹 사이트 또는 시스템의 소스 코드를 감사하고 소스 코드 또는 코드 환경을 감사하여 시스템 허점을 감사합니다(화이트 박스 테스트 범주에 속함).
어떻게 배우나요? 구체적인 학습 내용을 순서대로 나열하면 다음과 같습니다.
PHP의 위험한 기능과 보안 구성을 마스터하십시오.
코드 감사 프로세스 및 방법에 익숙합니다.
seay 등과 같은 마스터 1-2 코드 감사 도구;
일반적인 기능 감사 방법 마스터
; (자신감 있게 AuditDemo를 감사하는 것이 좋습니다)
일반 CMS 프레임워크 감사(어려움)
[추천도서] 코드오디트에는 외국서 "Code Audit: Enterprise-level Web Code Security Architecture"도 물론 있으니 시간 날때 읽어보시면 좋을 것 같습니다. github 인터넷에서 AuditDemo를 찾아 소스 코드를 다운로드하고 로컬 가상 머신에서 빌드한 다음 도구 및 감사 방법을 사용하여 AuditDemo의 10개 취약점을 감사합니다.난이도 분포는 정규 분포를 따르며 도전할 수 있습니다. 그것;
CMS 프레임워크 감사는 일부 CMS 공식 웹사이트로 이동하여 역사적으로 취약한 버전을 다운로드하여 감사할 수 있습니다.공식 웹사이트의 사용자 매뉴얼을 사용하여 프레임워크를 배울 수 있습니다.예를 들어 ThinkPHP3.2 버전에는 약간의 허점이 있으며 코드를 이해하려고 시도할 수 있지만 CMS 프레임워크의 코드 양이 상대적으로 많기 때문에 코드가 나오자마자 보지 마십시오.프레임워크를 먼저 체계적으로 배우지 않으면 기본적으로 이해할 수 없습니다. ; 프레임워크를 익힌 후 코드 감사 방식과 도구 프레임워크에 따라 간단한 POC를 작성하고 함께 감사하면 되는데 사실 생각보다 어렵지 않습니다. 이미 코드 감사의 고유한 이점이 있습니다.
그런 다음 일부 친구가 다시 물었습니다. 내 코드는 매우 열악합니다. 코드 감사를 배울 수 없습니까? 코드 감사는 네트워크 보안 학습에 필요한 조건이 아니며 마스터하는 것이 가장 좋으며 실패하면 후속 학습 및 고용에 영향을 미치지 않습니다. 이를 마스터하려면 웹 침투 또는 인트라넷 침투 또는 자동 침투와 같이 보다 전문적이고 능숙해지기 위한 단계 및 연습을 선택해야 합니다.
(3) 인트라넷 보안
축하합니다. 이것을 배우면 기본적으로 침투 테스트, 웹 침투, 보안 서비스, 보안 분석 및 기타 직책과 같은 네트워크 보안과 관련된 직업에 참여할 수 있습니다.
더 넓은 범위의 고용과 더 강력한 기술 경쟁을 원한다면 인트라넷 침투에 대해 더 많이 알아야 합니다.
인트라넷에 대한 지식은 약간 더 어렵고 현재 시장의 학습 자료 및 사격장과 일정한 관계가 있으며 인트라넷의 주요 학습 내용은 주로 인트라넷 정보 수집, 도메인 침투, 대리 및 전달 기술, 응용 프로그램을 포함합니다. 시스템 권한 에스컬레이션, 도구 학습, 안티바이러스 기술, APT 등
전문적인 용어에 대해 나에게 말하지 마십시오 blah blah blah! 구체적으로 배우는 방법은?
[추천도서] 질문이 좀 크네요 uh uh uh uh uh uh! "인트라넷 보안 공격 및 방어: 침투 테스트에 대한 실용 가이드"를 읽을 수 있습니다. 이 책은 잘 쓰여졌습니다. 중국에서 인트라넷에 대해 이야기하는 몇 안되는 책 중 하나입니다.
인트라넷 사격장 어디에서 다운받을 수 있냐고 꼬마친구가 다시 묻네요! 어어어어어어! 난감합니다. 능력이 있고 컴퓨터 구성이 높으면 가상 머신을 사용하여 인트라넷 환경을 구축할 수 있습니다. 일반적으로 가상 머신이 3개 이상 필요합니다. 해외에서도 일부 인트라넷 사격장을 찾을 수 있으며, 일부 요금 촬영 범위는 괜찮습니다.
(4) 침투와 확장
침투 및 확장 부분도 특정 직무와 밀접한 관련이 있어 최대한 숙달해야 하는 부분으로 주로 로그분석, 보안강화, 비상대응 등이 포함되며 그 중 처음 3부이고 인터넷에 이 분야에 대한 정보가 많지 않고 잘 짜여진 책과 자료가 많지 않습니다. 산업 관련 기술 그룹이나 업계에서 공유하는 자료를 통해 배울 수 있습니다. 이 단계에서는 기본적으로 성공적으로 시작했다고 판단됩니다. 로그 분석, 보안 강화 및 비상 대응을 배우십시오. 지식도 비교적 쉽습니다.
방법 2: 웹 침투 및 도구를 먼저 배우고 프로그래밍을 배웁니다.
적용 가능한 사람들: 코딩 능력이 매우 약하거나 코딩 능력이 전혀 없는 사람, 기초가 약한 다른 친구들
그러면 몇몇 친구들이 물어볼 것입니다. 좋은 기반이 없다면 웹 침투를 어떻게 배우나요?
Linux 시스템, 컴퓨터 네트워크, 약간의 웹 프레임워크, 데이터베이스와 같은 기본 부분은 여전히 학습해야 합니다.
php 언어, 자동 침투 및 코드 감사와 같은 일부 내용은 끝에 넣을 수 있습니다.이전 지식을 학습한 후 이전 지식을 학습한 후 언어를 학습하는 것은 상대적으로 쉽습니다.
[우선권장] 방법 2, 눕들에게는 코드 기초가 보통 약하고 초심자들이 초기에 언어 학습에 빠지는 경우가 많기 때문에 방법 2를 익히고 웹 침투와 툴을 먼저 익히는 것을 추천하며, 더 흥미롭고 쉽게 높은 학습 동기와 열정을 유지하십시오. 구체적인 학습 내용에 대해서는 이야기하지 않겠습니다. 방법 1을 참조하십시오.
마침내
네트워크 보안은 많은 기술과 지식을 요구하는 광범위한 분야로 위의 학습 제안을 결합하여 경력을 변경하는 과정에서 실무 능력을 발휘하고 네트워크 보안 분야에서 더 나은 발전을 위한 기반을 마련할 수 있습니다. 요컨대, 네트워크 보안으로 전환하려면 좋은 자기 학습 능력과 학습 태도가 필요하며 충분한 실무 경험과 함께 지속적인 학습과 자기 학습을 통해 네트워크 보안 분야의 기술과 지식을 점차 습득할 수 있습니다. -개선.
시대의 발전으로 볼 때 네트워크 보안 지식은 무궁무진하며 앞으로 배울 것이 더 많을 것입니다.학생들은 태도를 바로잡아야 합니다.네트워크 보안을 시작하기로 선택한 이상 진입 레벨, 능력이 강할수록 더 많은 기회가 있습니다.
입문 학습 단계의 지식 포인트는 상대적으로 복잡하기 때문에 더 일반적으로 말할 것입니다. 질문이 있으면 저에게 상담하십시오. 모든 것을 알겠다고 약속합니다. 또한 저에게 관련 정보를 요청할 수 있습니다. 내 온라인 디스크 많이 그 안에 있는 정보는 재를 먹고 있습니다.
