1. Malentendidos y trampas del aprendizaje de seguridad de red de autoaprendizaje
1. No intente convertirse primero en programador (aprendizaje basado en programación) y luego comience a aprender
En mis respuestas anteriores, enfaticé repetidamente que no se debe comenzar a aprender seguridad de red basada en programación En términos generales, aprender programación no solo es un ciclo de aprendizaje largo, sino que tampoco hay muchos conocimientos clave disponibles después de la transición real a la seguridad.
Si la gente común quiere aprender bien a programar y comenzar a aprender seguridad en la red, a menudo lleva mucho tiempo y es fácil darse por vencido a la mitad . Y aprender a programar es solo una herramienta, no un fin. Nuestro objetivo no es convertirnos en programadores . Se sugiere que en el proceso de aprendizaje de la seguridad de la red, lo que no se puede llenar , lo que tiene más propósito y consume menos tiempo.
2. No tome el aprendizaje profundo como la primera lección
Muchas personas tienen como objetivo aprender bien y con solidez la seguridad en redes, por lo que es fácil usar demasiada fuerza y caer en un malentendido: es aprender todo el contenido en profundidad, pero no es correcto utilizar el aprendizaje profundo como primera lección. de seguridad de la red buena idea. Las razones son las siguientes:
[1] La naturaleza de caja negra del aprendizaje profundo es más obvia, y es fácil de aprender y tragar
【2】El aprendizaje profundo tiene altos requisitos en sí mismo, no es adecuado para el autoaprendizaje y es fácil entrar en un callejón sin salida
3. No recopile demasiados datos
Hay una gran cantidad de materiales de aprendizaje sobre la seguridad de la red en Internet, y hay varios gigabytes de materiales que se pueden descargar o ver en todo momento. Y muchos amigos tienen "adicción a la colección", comprando más de una docena de libros a la vez o coleccionando docenas de videos.
Muchos materiales de aprendizaje en línea son extremadamente repetitivos y la mayor parte del contenido no se actualizó hace algunos años. Durante el período introductorio, se recomienda elegir materiales "pequeños pero refinados" . A continuación, recomendaré algunos recursos de aprendizaje que creo que son buenos para Xiaobai. Siga leyendo con paciencia.
2. Algunos preparativos preliminares para aprender seguridad en la red
1. Selección de hardware
A menudo me preguntan "¿Necesito una computadora con una configuración alta para aprender seguridad en la red? La respuesta es no, la computadora utilizada por los piratas informáticos no necesita ninguna configuración alta, siempre que sea estable. Debido a que algunos programas utilizados por los piratas informáticos , las CPU de gama baja también son Puede funcionar muy bien y no ocupa mucha memoria. Hay otro, el hacker se realiza bajo el comando DOS, por lo que la computadora se puede usar en las mejores condiciones. Entonces, no vuelva a comprar la máquina en nombre del aprendizaje...
2. Selección de programas
Muchas personas se verán enredadas en el aprendizaje de los piratas informáticos sobre si usar el sistema Linux, Windows o Mac. Aunque Linux se ve genial, no es amigable para los novatos. El sistema Windows también puede usar la máquina virtual para instalar la máquina de destino para el aprendizaje
En cuanto al lenguaje de programación, Python es el más recomendado por su buen soporte de expansión. Por supuesto, muchos sitios web en el mercado están desarrollados por PHP, por lo que también es posible elegir PHP. Otros lenguajes incluyen C++, Java...
Muchos amigos preguntarán si quieren aprender todos los idiomas. la respuesta es negativa! Para citar mi frase anterior: aprender a programar es solo una herramienta, no un fin, nuestro objetivo no es convertirnos en programadores.
(Una cosa adicional para mencionar aquí es que, aunque aprender a programar no puede ayudarlo a comenzar, puede determinar qué tan lejos puede llegar en el camino de la seguridad de la red, por lo que le recomiendo que aprenda algunos conocimientos básicos de programación por su cuenta)
3. Capacidad lingüística
Sabemos que las computadoras se inventaron por primera vez en Occidente, y muchos sustantivos o códigos están en inglés. Incluso algunos tutoriales existentes se tradujeron originalmente del inglés y, por lo general, se tarda una semana en traducir un error al chino. Es posible que se hayan parcheado las vulnerabilidades. en esta diferencia horaria. Y si no entiende algunos términos profesionales, tendrá obstáculos al comunicar tecnología o experiencia con otros piratas informáticos, por lo que necesita una cierta cantidad de inglés y términos profesionales de piratas informáticos (no necesita ser particularmente competente, pero debe ser capaz de entender los conceptos básicos)
Por ejemplo: pollo de engorde, caballo colgante, caparazón, WebShell, etc.
3. Ruta de aprendizaje de seguridad en la red
La primera etapa: comenzar con las operaciones básicas y aprender los conocimientos básicos
El primer paso para comenzar es aprender algunos cursos de herramientas de seguridad convencionales actuales y libros de apoyo sobre principios básicos. En términos generales, este proceso lleva aproximadamente 1 mes.
En esta etapa, ya tiene una comprensión básica de la ciberseguridad. Si ha terminado el primer paso, creo que ha entendido teóricamente que lo anterior es la inyección de sql, qué es el ataque xss, y también ha dominado las operaciones básicas de las herramientas de seguridad como burp, msf y cs. ¡Lo más importante en este momento es comenzar a sentar las bases!
El llamado "fundamento" es en realidad un estudio sistemático de los conocimientos informáticos básicos. Si quieres aprender bien la seguridad en redes, primero debes tener 5 módulos de conocimientos básicos:
1. Sistema operativo
2. Protocolo/red
3. Base de datos
4. Lenguaje de desarrollo
5. Principios de vulnerabilidades comunes
¿De qué sirve aprender estos conceptos básicos?
El nivel de conocimiento en varios campos de la informática determina el límite superior de su nivel de penetración.
[1] Por ejemplo: si tiene un alto nivel de programación, será mejor que otros en la auditoría de código, y las herramientas de explotación que escriba serán más fáciles de usar que otras;
[2] Por ejemplo: si tiene un alto nivel de conocimiento de la base de datos, cuando esté realizando ataques de inyección SQL, puede escribir más y mejores instrucciones de inyección SQL, que pueden pasar por alto WAF que otros no pueden pasar por alto;
【3】Por ejemplo: si su nivel de red es alto, entonces puede comprender la estructura de red del objetivo más fácilmente que otros cuando se infiltra en la red interna. Puede obtener una topología de red para saber dónde se encuentra y obtener la configuración. de un archivo router., sabrás qué rutas han realizado;
【4】Para otro ejemplo, si su sistema operativo es bueno, su privilegio mejorará, su eficiencia de recopilación de información será mayor y podrá filtrar de manera eficiente la información que desea.
La segunda etapa: operación práctica.
1. SRC minero
El propósito de cavar SRC es principalmente poner en práctica las habilidades. La mayor ilusión de aprender seguridad en redes es sentir que lo sabes todo, pero cuando se trata de cavar agujeros, no puedes hacer nada. SRC es una muy buena oportunidad. para aplicar habilidades.
2. Aprenda de las publicaciones de intercambio técnico (tipo de minería de vulnerabilidades)
Mire y aprenda todas las publicaciones de minería de día 0 en los últimos diez años, y luego cree un entorno para reproducir las lagunas, piense y aprenda el pensamiento de excavación del autor y cultive su propio pensamiento penetrante.
3. Práctica de campo
Construya un campo de tiro usted mismo o vaya a un sitio web de campo de tiro gratuito para practicar. Si tiene las condiciones, puede comprarlo o postularse a una institución de entrenamiento confiable. Generalmente, hay ejercicios de campo de tiro de apoyo.
Fase 3: Participar en competencias CTF u operaciones HVV
Recomendado: competición CTF
CTF tiene tres puntos:
【1】Una posibilidad cercana al combate real. Ahora la ley de seguridad de la red es muy estricta, a diferencia de antes, todos pueden perder el tiempo
[2] Los temas se mantienen al día con las fronteras de la tecnología, pero muchos libros van a la zaga
【3】Si eres estudiante universitario, te será de gran ayuda para encontrar trabajo en el futuro.
Si quieres jugar una competencia CTF, ve directamente a las preguntas de la competencia, si no entiendes las preguntas de la competencia, ve a la información de acuerdo a lo que no entiendes
Recomendado: HVV (protección de red)
HVV tiene cuatro puntos:
[1] También puede ejercitarlo mucho y mejorar sus propias habilidades. Lo mejor es participar en la acción HVV que se lleva a cabo todos los años.
【2】Podrá conocer a muchos peces gordos en el círculo y expandir su red
【3】El salario de HVV también es muy alto, por lo que puedes ganar mucho dinero si participas.
[4] Al igual que la competencia CTF, si eres estudiante universitario, también será muy útil para encontrar un trabajo en el futuro.
En cuarto lugar, la recomendación de materiales de aprendizaje.
Seguridad y foros comunes de Internet
Foro Kanxue
Clase de seguridad
Seguridad Niu
Seguridad Referencia interna
Liga verde
Comunidad de profetas
Alianza XCTF
4. Siete niveles de hackers
Los piratas informáticos están llenos de tentaciones para muchas personas. Mucha gente puede encontrar que este campo es como cualquier otro campo. Cuanto más profundices, más asombrado estarás. El conocimiento es como un océano, y los piratas informáticos también tienen algunos niveles. Consulte el intercambio de Chuangyu CEO ic (un miembro del mejor equipo de hackers del mundo 0x557) de la siguiente manera:
Lengtouqing de nivel 1 [millones de personas]: saben cómo usar herramientas de seguridad, solo pueden escanear y descifrar contraseñas fácilmente
Administradores de sistemas de nivel 2 [decenas de miles de personas]: hacen un buen uso de las herramientas de seguridad, especialmente familiarizados con
el desarrollo de sistemas y redes Nivel 3 grandes empresas Personal o empresa de seguridad central Da Niu [miles de personas]: muy familiarizado con el sistema operativo, comenzó a desarrollar códigos, escribió su propio escáner
Nivel 4 puede encontrar y explotar vulnerabilidades [cientos de personas]: puede encontrar lagunas por sí mismos, encuentren 0DAY por sí mismos y escriban Exp para aprovechar lagunas, hacer pruebas de protocolo en el sistema para encontrar lagunas
Nivel 5 nivel alto [menos de cien personas]: personas que defienden y construyen sistemas
Nivel 6 nivel élite [docenas a una docena personas]: tener una buena comprensión del sistema operativo
Nivel 7 en profundidad Big Niu Niu [Pocos]: Mark Zuckerberg, Albert Einstein y otras personas que cambiaron el mundo
Puedes ver, ¿en qué nivel estás ahora? Quizás se pregunte en qué nivel estoy, mi nivel no es alto y estoy en camino de buscar un gran avance. Sin embargo, también he practicado las otras dos habilidades, lo que puede permitirme hacer un avance más interesante. En cuanto a lo que es, lo siento, ¿cómo me atrevo a ser presuntuoso antes de tener éxito?
aprender a observar
A menudo digo que Internet está lleno de tesoros y que la observación es la primera habilidad necesaria. Si eres bueno observando y resumiendo, descubrirás algunas formas más rápido, lo que te hará la vida más fácil que otras.
círculo
En el proceso anterior, definitivamente se familiarizará con algunas identificaciones. ¿Quieres hacer algunos amigos? Muestre sus fortalezas, compartir es importante, a nadie le gusta comunicarse o trollear.
Se recomienda especialmente comprender los atributos clásicos de todos los grupos del próximo círculo, y recomendar los libros "El gen egoísta" y "La multitud".
creatividad
Mencioné antes que para ser lo suficientemente creativo, hay dos puntos clave, uno es "visión" y el otro es "enfoque". La visión es horizontal y la concentración es vertical. Los dos deben estar equilibrados, porque la energía humana es limitada (la ley de conservación de la energía). Mientras uno esté desequilibrado, ninguno existirá.
Para la mayoría de las personas, enfocar es lo más difícil, después de todo, este es un proceso inmediato de reducción de entropía, un proceso de autoorganización de la información. En serio, aceleraste el fin del universo debido a tu enfoque. En cuanto a por qué, no se ampliará aquí. En resumen, es realmente difícil concentrarse y hay que esforzarse muchas veces.
Debido a los genes egoístas, los seres humanos siempre están explotando su creatividad consciente o inconscientemente. Algo de creatividad puede cambiar el mundo, algo de creatividad puede cambiar a la familia y algo de creatividad puede cambiarte a ti mismo. Todo esto es creatividad. Cuánta creatividad necesitas depende de tus genes, de quién quieres ser.
Después de todo, hay "muy pocas" personas que pueden cambiar el mundo...
Adjunto la ruta de aprendizaje
Si la imagen es demasiado grande y no se puede ver claramente debido a la compresión de la plataforma, puedes seguirme y enviarla automáticamente en segundo plano.
Materiales de apoyo en video y libros, notas y herramientas de seguridad cibernética nacionales y extranjeras
Por supuesto, además de videos de apoyo, también organizamos varios documentos, libros, materiales y herramientas para usted.
Si desea ingresar a la piratería y la seguridad de la red, puede encontrarme para obtener la información anterior, seguirme y enviarla automáticamente en segundo plano ~
epílogo
La industria de la seguridad de redes es como un río y un lago, donde se reúnen personas de todos los colores. En comparación con muchas familias decentes con bases sólidas en países europeos y americanos (entienden el cifrado, saben cómo proteger, pueden cavar agujeros y son buenos en ingeniería), nuestros talentos son más herejes (muchos sombreros blancos pueden no estar convencidos), por lo que en el futuro Capacitación de talentos y En términos de construcción, es necesario ajustar la estructura y alentar a más personas a hacer "sistema y construcción" "positivos" que combinen "negocios" y "datos" y "automatización" para saciar la sed para los talentos y verdaderamente servir a la sociedad de una manera integral Internet proporciona seguridad.
Declaración especial: ¡
Este tutorial es puramente técnico! ¡El propósito de este tutorial no es de ninguna manera proporcionar soporte técnico para aquellos con malas intenciones! ¡Tampoco asume la responsabilidad solidaria derivada del mal uso de la tecnología! El propósito de este tutorial es maximizar la atención de todos a la seguridad de la red y tomar las medidas de seguridad correspondientes para reducir las pérdidas económicas causadas por la seguridad de la red. ! ! !