1. ¿Qué es la seguridad de la red? ¿Qué es un hacker?
La seguridad de la red se puede clasificar según la perspectiva de ataque y defensa: el "equipo rojo" y las "pruebas de penetración" que escuchamos a menudo son investigaciones sobre tecnología de ataque, mientras que el "equipo azul", "operación de seguridad" y "operación y mantenimiento de seguridad". "son investigaciones sobre tecnología de defensa.
Independientemente del campo de la red, web, móvil, escritorio, nube, etc., existen dos lados del ataque y la defensa. Por ejemplo, la tecnología de seguridad web incluye tanto la penetración web como la tecnología de defensa web (WAF). Como ingeniero de seguridad de redes cualificado, debes ser tanto ofensivo como defensivo. Después de todo, puedes ganar todas las batallas si te conoces a ti mismo y al enemigo.
2. Malentendidos y dificultades del autoaprendizaje sobre seguridad de redes
1. No intentes convertirte primero en programador (aprendizaje basado en programación) y luego empezar a aprender.
Comportamiento : Domina desde la programación, aprende todo desde front-end hasta back-end, protocolos de comunicación y todo.
Desventajas : lleva demasiado tiempo y no hay mucho conocimiento crítico disponible después de la transición real a la seguridad.
Muchos conocimientos sobre funciones de seguridad e incluso los sustantivos no entienden cómo deserializar el archivo de salida.
2. No tomes el aprendizaje profundo como primera lección
Muchas personas pretenden aprender bien y de manera sólida la seguridad de la red, por lo que es fácil usar demasiada fuerza;
Caer en un malentendido: Es aprender todo en profundidad, pero no es buena idea utilizar el aprendizaje profundo como primera lección de seguridad de la red.
Las razones son las siguientes:
[1] La naturaleza de caja negra del aprendizaje profundo es más obvia y es fácil de aprender y asimilar.
【2】 El aprendizaje profundo tiene altos requisitos para sí mismo, no es adecuado para el autoestudio y es fácil entrar en un callejón sin salida
3. Malentendidos sobre el autoestudio basados en las habilidades e intereses de los piratas informáticos:
Comportamiento : buscar frenéticamente tutoriales de seguridad, unirse a varios círculos pequeños, descargar todos los recursos, mirar todos los vídeos, siempre que estén relacionados con piratas informáticos.
Desventajas : Incluso después de considerar la calidad de los recursos, los puntos de conocimiento que se pueden aprender están muy dispersos y son muy repetitivos.
El código no se puede entender, la explicación no se puede entender y la situación de conocimiento a medias ocurre de vez en cuando.
Después de dedicar mucho tiempo a comprenderlo, me di cuenta de que el contenido de este video es en realidad el mismo que el de otros puntos de conocimiento que vi.
4. No recopile demasiados datos
Hay muchos materiales de aprendizaje sobre seguridad de redes en Internet, y hay varios gigabytes de materiales que se pueden descargar o ver en todo momento. Y muchos amigos tienen una "adicción a las colecciones", compran más de una docena de libros a la vez o coleccionan docenas de videos.
Muchos materiales de aprendizaje en línea son extremadamente repetitivos y la mayor parte del contenido no se ha actualizado hace unos años. Durante el período introductorio, se recomienda elegir materiales "pequeños pero refinados". A continuación recomendaré algunos recursos de aprendizaje que creo que son buenos para Xiaobai. Siga leyendo con paciencia.
2. Algunos preparativos preliminares para aprender sobre seguridad de la red.
1. Selección de hardware
A menudo me preguntan "¿Necesito una computadora con una configuración alta para aprender sobre seguridad de la red?" La respuesta es no, la computadora utilizada por los piratas informáticos no necesita ninguna configuración alta, siempre que sea estable. Debido a que algunos programas utilizados por los piratas informáticos , Las CPU de gama baja también pueden funcionar muy bien y no ocupan mucha memoria. Hay otra, el hacker lo hace bajo el comando DOS, ¡para que la computadora se pueda usar en las mejores condiciones! Entonces, no vuelva a comprar la máquina en nombre del aprendizaje...
2. Selección de software
Muchas personas se verán enredadas en aprender a los piratas informáticos si deben usar el sistema Linux, Windows o Mac. Aunque Linux se ve bien, no es amigable para los novatos. El sistema Windows también puede usar la máquina virtual para instalar la máquina de destino para aprender.
En cuanto al lenguaje de programación, Python es el más recomendado por su buen soporte de expansión. Por supuesto, muchos sitios web en el mercado están desarrollados en PHP, por lo que también es posible elegir PHP. Otros lenguajes incluyen C++, Java...
Muchos amigos les preguntarán si quieren aprender todos los idiomas. ¡la respuesta es negativa! Para citar mi frase anterior: aprender a programar es solo una herramienta, no un fin, nuestro objetivo no es convertirnos en programadores.
(Una cosa adicional para mencionar aquí es que, aunque aprender programación no puede ayudarlo a comenzar, puede determinar hasta dónde puede llegar en el camino de la seguridad de la red, por lo que le recomiendo que aprenda algunos conocimientos básicos de programación por su cuenta)
3. Habilidad lingüística
Sabemos que las computadoras se inventaron por primera vez en Occidente y que muchos nombres o códigos están en inglés. Incluso algunos tutoriales existentes se tradujeron originalmente del inglés y, por lo general, un error tarda una semana en traducirse al chino. Es posible que se hayan parcheado las vulnerabilidades en este momento la diferencia. Y si no comprende algunos términos profesionales, tendrá obstáculos a la hora de comunicar tecnología o experiencia con otros piratas informáticos, por lo que necesita una cierta cantidad de inglés y términos profesionales de piratas informáticos (no es necesario que sea especialmente competente, pero sí ser capaz de entender los conceptos básicos)
Por ejemplo: pollo de engorde, caballo colgante, concha, WebShell, etc.
3. Ruta de aprendizaje sobre seguridad de la red (último acuerdo de 2023)
Fase 1: Conceptos básicos de seguridad
Industria y regulaciones de ciberseguridad
sistema operativo linux
Red de computadoras
HTML PHP Mysql Python: conceptos básicos para el dominio práctico
Fase dos: recopilación de información
recopilación de información de propiedad intelectual
Recopilación de información de nombres de dominio.
Recopilación de información del servidor
Recopilación de información del sitio web.
piratería de google
Mapeo de seguridad de red Fofa
Fase tres: seguridad web
Vulnerabilidad de inyección SQL
XSS
Vulnerabilidad CSRF
Vulnerabilidad de carga de archivos
el archivo contiene un error
Vulnerabilidad de la SSRF
Vulnerabilidad XXE
Vulnerabilidades de ejecución remota de código
Defensa y descifrado por fuerza bruta de contraseñas
Vulnerabilidades de análisis de middleware
Vulnerabilidades de deserialización
Etapa cuatro: herramientas de penetración
MSF
Golpe de cobalto
suite de eructos
Nessus Appscea AWVS
Rayos X de gobio
mapa sql
Nmapa
Kali
La quinta etapa: excavación de combate real.
Habilidades de minería de vulnerabilidades
Src
cnvd
Proyecto de prueba colectiva
Recurrencia de vulnerabilidades CVE populares
Combate en el campo de tiro
Cuarto, la recomendación de materiales de aprendizaje.
El marco de aprendizaje se ha ordenado y ahora faltan los recursos. He ordenado los documentos de recursos correspondientes a todos los puntos de conocimiento aquí. Si no desea buscarlos uno por uno, puede consultar estos materiales. !
1. Ruta de aprendizaje resumida completa (compartible)
2. Videotutoriales completos, herramientas de piratería, documentos técnicos SRC, libros en PDF, seguridad web, etc. (compartibles)
Amigos que necesiten el contenido anterior, den me gusta y dejen un mensaje "pregúntenme", ¡les responderé a todos inmediatamente después de verlo!
epílogo
La industria de la seguridad de redes es como un río y un lago, donde se reúne gente de todos los colores. En comparación con muchas familias decentes con bases sólidas en países europeos y americanos (entienden el cifrado, saben cómo proteger, pueden cavar agujeros y son buenos en ingeniería), nuestros talentos son más herejes (es posible que muchos sombreros blancos no estén convencidos), por lo que en el futuro Formación de talentos y En términos de construcción, es necesario ajustar la estructura y alentar a más personas a hacer "sistemas y construcciones" "positivos" que combinen "negocios", "datos" y "automatización" para saciar la sed. buscar talentos y servir verdaderamente a la sociedad de manera integral. Internet proporciona seguridad.