¿Cómo aprender por sí mismo con base cero en seguridad de redes?

News 2023-08-07 01:33:05 views: null

1. ¿Por qué elegir Seguridad de red?

En los últimos años, con la implementación continua de una serie de políticas/reglamentos/estándares como la “Estrategia Nacional de Seguridad del Ciberespacio”, la “Ley de Seguridad Cibernética” y la “Protección del Nivel de Seguridad de la Red 2.0”, el estado y salario de la seguridad cibernética la industria ha aumentado en consecuencia.

Los próximos 3 a 5 años serán el período dorado de desarrollo de la industria de la seguridad. Si ingresa a la industria con anticipación, puede disfrutar del dividendo de desarrollo de la industria.

2. ¿Por qué se dice que la industria de seguridad de redes es el último dividendo de la industria de TI?

Según el "Informe de seguridad de Internet" publicado por Tencent Security, la oferta de talentos de seguridad cibernética en China actualmente es muy escasa. Cada año, solo más de 30,000 talentos reciben capacitación en carreras de seguridad en colegios y universidades, y la brecha en los puestos de seguridad cibernética ha aumentado. llegó a 700.000, que es tan alto como el 95%.

imagen.png


Además, vamos al sitio web de reclutamiento y buscamos títulos de trabajo como [Seguridad de red], [Ingeniero de seguridad web], [Pruebas de penetración], etc., y podemos ver que los puestos de seguridad tienen buenos salarios.

imagen.png

Elegir la industria de la seguridad tiene las siguientes cuatro ventajas:

01 No hay límite de edad

En muchos puestos en la industria de TI, hay personas de 35 años que están ansiosas y preocupadas por si la empresa está dispuesta a asumir el problema, mientras que la seguridad de la red depende de la capacidad para resolver problemas. cuantos más años de trabajo, cuanto más rica la experiencia, más valiosa.

02 El umbral educativo es relativamente flexible

En la actualidad, hay muy pocas universidades de seguridad cibernética con especializaciones. Primero, hay muy pocas escuelas que ofrecen especializaciones en seguridad cibernética. Segundo, incluso si se ofrecen especializaciones en seguridad cibernética, hay muy pocos estudiantes capacitados debido a la escasez de maestros. Y el los requisitos de edad, especialización y educación no son tan estrictos, y el mercado laboral es relativamente tolerante.

03 El nivel salarial general es alto

En comparación con otras industrias de TI, el salario inicial de la seguridad de la red es más alto. El salario inicial suele ser más de 7k, y el salario anual puede alcanzar hasta un millón. También existe la oportunidad de obtener muchos ingresos a tiempo parcial.

La primera etapa: 4 a 6 semanas de preparación básica

Esta etapa es una parte de aprendizaje obligatorio para todos aquellos que se preparan para ingresar a la industria de la seguridad.Como dice el refrán: el suelo se sacude sin mano de obra

Etapa dos: Penetración web

Tiempo de aprendizaje básico: (1 semana a 2 semanas)

① Comprender los conceptos básicos: (inyección SQL, XSS, carga, CSRF, caballo de Troya de una oración, etc.) para sentar las bases para posteriores pruebas de penetración WEB.
② Verifique algunas penetraciones web en algunos foros y aprenda la idea de un caso de estudio. Cada sitio es diferente, por lo que la idea es la principal.
③ Aprende el arte de hacer preguntas y sé bueno haciendo preguntas si no entiendes.

 

Tiempo para configurar el entorno de penetración: (3 semanas a 4 semanas)

① Comprender las herramientas de uso común para las pruebas de penetración, como (AWVS, SQLMAP, NMAP, BURP, cuchillo de cocina chino, etc.).
② Descargue las versiones sin puerta trasera de estas herramientas e instálelas en su computadora.
③ Comprenda los escenarios de uso de estas herramientas y conozca el uso básico. Se recomienda buscar en Google.

Tiempo de funcionamiento real de la infiltración: (alrededor de 6 semanas)

① Busque casos reales de penetración en Internet y obtenga una comprensión profunda del uso de la inyección SQL, la carga de archivos y las vulnerabilidades de análisis en el combate real.
② Cree una prueba de entorno de vulnerabilidad usted mismo, recomiende DWVA, SQLi-labs, Upload-labs, bWAPP.
③ Comprender las etapas de las pruebas de penetración y qué acciones deben realizarse en cada etapa: como los estándares de implementación de pruebas de penetración PTES.
④ Estudio en profundidad de la inyección manual de SQL, encuentre formas de omitir waf y cree sus propios scripts.
⑤ Estudie el principio de carga de archivos, cómo truncar, falsificación de doble sufijo (IIS, PHP), análisis de exploits (IIS, Nignix, Apache), etc., consulte: marco de ataque de carga.
⑥ Comprender el principio y los tipos de formación de XSS, practicar en DWVA, usar un cms con vulnerabilidad XSS, instalar un perro de seguridad, etc. para realizar pruebas.
⑦ Comprender una oración de caballo de Troya e intentar escribir una oración de perro.
⑧ Investigación sobre escalada de privilegios en Windows y Linux, palabras clave de Google: escalada de privilegios

Lo anterior es

la tercera etapa de la etapa de entrada: avanzada

 

Sugerencias para principiantes:

libros de seguridad web para principiantes

  • "Guía de estudio CCNA"
  • "Explicación detallada de TCP/IP Volumen 1"
  • "Seguridad del conmutador LAN"
  • "Cortafuegos de Cisco"
  • "Principios y prácticas de seguridad de red"
  • "Tecnología y soluciones de seguridad de red"
  • "Charla sobre tecnología de firewall de Huawei"
  • "Exposición a piratas informáticos de la red de Cisco"
  • "Combate real de análisis de red Wireshark"
  • "Combate real de análisis de paquetes Wireshark"
  • "Análisis de profundidad de ataque y defensa DDoS"
  • "Guía de configuración completa de Cisco VPN"
  • "Sistema de detección de intrusos de seguridad de Cisco"

Lista de libros recomendados sobre seguridad web/pruebas de penetración

  • "Los sombreros blancos hablan sobre la seguridad web"
  • "Análisis Profundo de la Seguridad Web"
  • "Campamento de entrenamiento de demonios de prueba de penetración Metaspolit"
  • "Secreto de seguridad front-end web"
  • "Pruebas de penetración web usando Kali Linux"
  • "Combate real web de la colección de tecnología de ataque y defensa de piratería"
  • "Guía práctica de BurpSuite"
  • "Ataque y defensa de inyección SQL"
  • "Análisis y defensa de ataques XSS cross-site scripting"
  • "Guía avanzada de seguridad empresarial en Internet"
     

epílogo

La industria de la seguridad de redes es como un río y un lago, donde se reúnen personas de todos los colores. En comparación con muchas familias decentes con bases sólidas en países europeos y americanos (entienden el cifrado, saben cómo proteger, pueden cavar agujeros y son buenos en ingeniería), nuestros talentos son más herejes (muchos sombreros blancos pueden no estar convencidos), por lo que en el futuro Capacitación de talentos y En términos de construcción, es necesario ajustar la estructura y alentar a más personas a hacer "sistema y construcción" "positivos" que combinen "negocios" y "datos" y "automatización" para saciar la sed para los talentos y verdaderamente servir a la sociedad de una manera integral Internet proporciona seguridad.

Amigos que quieran involucrarse en piratería y seguridad de redes, he preparado una copia para todos: ¡el paquete de información de seguridad de redes más completo en toda la red en 2023 gratis! Préstale atención (enviado automáticamente en segundo plano)
 

Supongo que te gusta

Origin blog.csdn.net/2301_77162959/article/details/132081466
Recomendado
Clasificación
Diario
Más
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)
2024-04-24(31)
2024-04-23(29)
2024-04-22(5)
2024-04-21(0)

Code World

© 2018 codetd.com