1. Malentendus et pièges de l'apprentissage autonome de la sécurité des réseaux
1. N'essayez pas de devenir programmeur d'abord (apprentissage basé sur la programmation) puis commencez à apprendre
Dans mes réponses précédentes, j'ai insisté à plusieurs reprises sur le fait de ne pas commencer à apprendre la sécurité réseau basée sur la programmation De manière générale, l'apprentissage de la programmation n'est pas seulement un long cycle d'apprentissage, mais il n'y a pas beaucoup de connaissances clés disponibles après la transition effective vers la sécurité.
Si les gens ordinaires veulent bien apprendre la programmation et commencer à apprendre la sécurité du réseau, cela prend souvent beaucoup de temps et il est facile d' abandonner à mi-chemin . Et apprendre la programmation n'est qu'un outil, pas une fin.Notre objectif n'est pas de devenir programmeur . Il est suggéré que dans le processus d'apprentissage de la sécurité du réseau, ce qui ne peut pas être rempli , ce qui est plus utile et prend moins de temps.
2. Ne prenez pas l'apprentissage en profondeur comme première leçon
Beaucoup de gens visent à bien et solidement apprendre la sécurité réseau, il est donc facile d'utiliser trop de force et de tomber dans un malentendu : c'est pour apprendre tout le contenu en profondeur, mais il n'est pas juste d'utiliser l'apprentissage en profondeur comme première leçon de la sécurité du réseau. bonne idée. Les raisons sont les suivantes:
[1] La nature de la boîte noire de l'apprentissage en profondeur est plus évidente, et il est facile à apprendre et à avaler
【2】 L'apprentissage en profondeur a des exigences élevées sur lui-même, il ne convient pas à l'auto-apprentissage et il est facile d'entrer dans une impasse
3. Ne collectez pas trop de données
Il existe de nombreux supports d'apprentissage sur la sécurité des réseaux sur Internet, et plusieurs gigaoctets de supports peuvent être téléchargés ou visionnés à tout moment. Et de nombreux amis ont une "dépendance à la collection", achetant plus d'une douzaine de livres à la fois ou collectionnant des dizaines de vidéos
De nombreux supports d'apprentissage en ligne sont extrêmement répétitifs et la plupart du contenu n'a pas été mis à jour il y a quelques années. Pendant la période d'introduction, il est recommandé de choisir des matériaux "petits mais raffinés" . Ci-dessous, je recommanderai quelques ressources d'apprentissage qui, à mon avis, sont bonnes pour Xiaobai. Continuez à lire patiemment.
2. Quelques préparations préliminaires pour apprendre la sécurité du réseau
1. Sélection du matériel
On me demande souvent : "Ai-je besoin d'un ordinateur avec une configuration élevée pour apprendre la sécurité du réseau ?" La réponse est non, l'ordinateur utilisé par les pirates n'a pas besoin d'une configuration élevée, tant qu'il est stable. Parce que certains programmes utilisés par les pirates, les processeurs bas de gamme sont également Il peut très bien fonctionner, et il ne prend pas beaucoup de mémoire. Il y en a un autre, le piratage se fait sous la commande DOS, de sorte que l'ordinateur peut être utilisé dans les meilleures conditions ! Donc , n'achetez plus la machine au nom de l'apprentissage...
2. Sélection du logiciel
Beaucoup de gens seront empêtrés dans l'apprentissage des hackers pour utiliser Linux, Windows ou Mac.Bien que Linux ait l'air cool, il n'est pas convivial pour les débutants. Le système Windows peut également utiliser la machine virtuelle pour installer la machine cible pour l'apprentissage
En ce qui concerne le langage de programmation, Python est le plus recommandé en raison de son bon support d'extension. Bien sûr, de nombreux sites Web sur le marché sont développés en PHP, il est donc également possible de choisir PHP. D'autres langages incluent C++, Java...
Beaucoup d'amis vous demanderont s'ils veulent apprendre toutes les langues ? la réponse est négative ! Pour citer ma phrase ci-dessus : Apprendre la programmation n'est qu'un outil, pas une fin, notre but n'est pas de devenir programmeur
(Une chose supplémentaire à mentionner ici est que même si l'apprentissage de la programmation ne peut pas vous aider à démarrer, il peut déterminer jusqu'où vous pouvez aller sur la route de la sécurité du réseau, donc je vous recommande d'apprendre par vous-même quelques connaissances de base en programmation)
3. Capacité linguistique
Nous savons que les ordinateurs ont été inventés pour la première fois en Occident et que de nombreux noms ou codes sont en anglais. Même certains didacticiels existants ont été initialement traduits de l'anglais, et il faut généralement une semaine pour qu'un bogue soit traduit en chinois. Des vulnérabilités peuvent avoir été corrigées à ce décalage horaire. Et si vous ne comprenez pas certains termes professionnels, vous rencontrerez des obstacles lors de la communication de la technologie ou de l'expérience avec d'autres pirates, vous avez donc besoin d'un certain nombre de termes professionnels en anglais et en hackers (vous n'avez pas besoin d'être particulièrement compétent, mais vous devez comprendre les bases)
Par exemple : poulet de chair, cheval suspendu, coquillage, WebShell, etc.
3. Parcours d'apprentissage de la sécurité du réseau
La première étape : débuter avec les opérations de base et acquérir les connaissances de base
La première étape pour commencer est d'apprendre certains cours sur les outils de sécurité grand public actuels et des livres de support sur les principes de base. En règle générale, ce processus prend environ 1 mois.
À ce stade, vous avez déjà une compréhension de base de la cybersécurité. Si vous avez terminé la première étape, je pense que vous avez théoriquement compris ce qui précède est l'injection sql, qu'est-ce qu'une attaque xss, et vous avez également maîtrisé les opérations de base des outils de sécurité tels que burp, msf et cs. La chose la plus importante à ce stade est de commencer à poser les fondations !
La soi-disant «fondation» est en fait une étude systématique des connaissances informatiques de base. Si vous voulez bien apprendre la sécurité réseau, vous devez d'abord avoir 5 modules de connaissances de base :
1. Système d'exploitation
2. Protocole/réseau
3. Base de données
4. Langage de développement
5. Principes des vulnérabilités communes
A quoi sert d'apprendre ces bases ?
Le niveau de connaissance dans divers domaines de l'informatique détermine la limite supérieure de votre niveau de pénétration.
[1] Par exemple : si vous avez un haut niveau de programmation, vous serez meilleur que les autres en audit de code, et les outils d'exploitation que vous écrivez seront plus faciles à utiliser que les autres ;
[2] Par exemple : si vous avez un haut niveau de connaissance des bases de données, lorsque vous menez des attaques par injection SQL, vous pouvez écrire davantage et de meilleures instructions d'injection SQL, qui peuvent contourner le WAF que les autres ne peuvent pas contourner ;
[3] Par exemple : si votre niveau de réseau est élevé, vous pouvez comprendre la structure du réseau de la cible plus facilement que les autres lorsque vous infiltrez le réseau interne. Vous pouvez obtenir une topologie du réseau pour savoir où vous êtes et obtenir la configuration d'un fichier router., vous saurez quelles routes ils ont tracées ;
【4】Pour un autre exemple, si votre système d'exploitation est bon, votre privilège sera amélioré, l'efficacité de votre collecte d'informations sera plus élevée et vous pourrez filtrer efficacement les informations que vous souhaitez.
La deuxième étape: opération pratique
1. CRS minier
Le but de creuser SRC est principalement de mettre les compétences en pratique. La plus grande illusion de l'apprentissage de la sécurité réseau est de sentir que vous savez tout, mais quand il s'agit de creuser des trous, vous ne pouvez rien faire. SRC est une très bonne opportunité pour appliquer les compétences.
2. Apprenez des publications de partage technique (type extraction de vulnérabilité)
Regardez et étudiez tous les messages miniers 0day au cours des dix dernières années, puis créez un environnement pour reproduire les failles, réfléchissez et apprenez la pensée de creusement de l'auteur et cultivez votre propre pensée pénétrante
3. Entraînement au champ de tir
Construisez un stand de tir par vous-même ou rendez-vous sur un site Web de stand de tir gratuit pour vous entraîner. Si vous avez les conditions, vous pouvez l'acheter ou postuler auprès d'un établissement de formation fiable. Généralement, il existe des exercices de support de stand de tir.
Phase 3 : Participer aux compétitions CTF ou aux opérations HVV
Recommandé : Compétition de la FCDQ
CTF a trois points:
【1】Une chance proche du combat réel. Maintenant, la loi sur la sécurité des réseaux est très stricte, contrairement à avant, tout le monde peut déconner
[2] Les sujets suivent les frontières de la technologie, mais de nombreux livres sont à la traîne
【3】 Si vous êtes étudiant, cela vous sera très utile pour trouver un emploi à l'avenir
Si vous souhaitez disputer une compétition CTF, rendez-vous directement sur les questions du concours, si vous ne comprenez pas les questions du concours, rendez-vous sur les informations en fonction de ce que vous ne comprenez pas
Recommandé : HVV (protection réseau)
HVV a quatre points :
[1] Cela peut aussi grandement vous exercer et améliorer vos propres compétences. Il est préférable de participer à l'action HVV organisée chaque année
【2】Pouvoir rencontrer de nombreux gros bonnets dans le cercle et élargir votre réseau
【3】Le salaire de HVV est également très élevé, vous pouvez donc gagner beaucoup d'argent si vous participez
[4] Comme le concours CTF, si vous êtes étudiant, cela vous sera également très utile pour trouver un emploi à l'avenir
Quatrièmement, la recommandation de matériel d'apprentissage
Sécurité Internet commune et forums
Forum Kanxue
Classe de sécurité
Sécurité Niu
Sécurité Référence interne
Green League
Prophet Community
XCTF Alliance
4. Sept niveaux de pirates
Les pirates sont pleins de tentation pour de nombreuses personnes. Beaucoup de gens peuvent trouver que ce domaine est comme n'importe quel autre domaine. Plus vous allez en profondeur, plus vous serez impressionné. La connaissance est comme un océan, et les pirates ont également certains niveaux. Veuillez vous référer au partage de Zhichuangyu CEO ic (un membre de la meilleure équipe de hackers au monde 0x557) comme suit :
Niveau 1 Lengtouqing [millions de personnes] : savent utiliser les outils de sécurité, ne peuvent que scanner et déchiffrer facilement les mots de passe
Administrateurs système de niveau 2 [dizaines de milliers de personnes] : font bon usage des outils de sécurité, surtout familiarisés avec
le développement des systèmes et réseaux Grandes entreprises de niveau 3 Personnel ou société de sécurité principale Da Niu [milliers de personnes] : très familier avec le système d'exploitation, a commencé à développer des codes, a écrit son propre scanner
Niveau 4 peut trouver et exploiter des vulnérabilités [des centaines de personnes] : peut trouver des failles par eux-mêmes, trouver 0DAY par eux-mêmes et Write Exp pour exploiter les failles, faire des tests de protocole sur le système pour trouver les failles
Niveau 5 haut niveau [moins d'une centaine de personnes] : personnes qui défendent et construisent des systèmes
Niveau 6 niveau élite [des dizaines à une douzaine personnes] : avoir une bonne compréhension du système d'exploitation Approfondi
Niveau 7 Big Niu Niu [Peu] : Mark Zuckerberg, Albert Einstein et d'autres personnes qui ont changé le monde
Vous pouvez voir, à quel niveau êtes-vous maintenant? Vous vous demandez peut-être à quel niveau je me situe, mon niveau n'est pas élevé et je suis sur le point de chercher une percée. Cependant, j'ai également pratiqué les deux autres compétences, ce qui peut me permettre de faire une percée plus intéressante.Quant à ce que c'est, je suis désolé, comment oserais-je être présomptueux avant de réussir.
apprendre à observer
Je dis souvent qu'Internet regorge de trésors, et l'observation est la première compétence nécessaire. Si vous savez bien observer et résumer, vous découvrirez certaines manières plus rapidement, ce qui vous facilitera la vie plus que d'autres.
cercle
Dans le processus ci-dessus, vous vous familiariserez certainement avec certains identifiants. Voulez-vous vous faire des amis? Montrez vos forces, le partage est important, personne n'aime tendre la main ou troller.
Il est particulièrement recommandé de comprendre les attributs classiques de tous les groupes du cercle suivant et de recommander les livres "The Selfish Gene" et "The Crowd".
la créativité
J'ai mentionné avant que pour être assez créatif, il y a deux points clés, l'un est la "vision" et l'autre est la "focalisation". La vision est horizontale et la concentration est verticale.Les deux doivent être équilibrés, car l'énergie humaine est limitée (loi de la conservation de l'énergie). Tant que l'un ou l'autre est déséquilibré, aucun n'existera.
Pour la plupart des gens, se concentrer est le plus difficile, après tout, c'est un processus immédiat de réduction d'entropie, un processus d'auto-organisation de l'information. Sérieusement, vous avez accéléré la fin de l'univers grâce à votre concentration. Quant à savoir pourquoi, il ne sera pas développé ici. Bref, c'est vraiment difficile de se concentrer, et il faut se forcer beaucoup de fois.
En raison de gènes égoïstes, les êtres humains font toujours exploser leur créativité, consciemment ou inconsciemment. Une certaine créativité peut changer le monde, une certaine créativité peut changer la famille et une certaine créativité peut vous changer vous-même. Ce sont tous de la créativité. La quantité de créativité dont vous avez besoin dépend de vos gènes, de qui vous voulez être.
Après tout, il y a "très peu" de personnes qui peuvent changer le monde...
Ci-joint le parcours d'apprentissage
Si l'image est trop grande et est compressée par la plate-forme et ne peut pas être vue clairement, vous pouvez me suivre et l'envoyer automatiquement en arrière-plan
Matériel de support vidéo et livres, notes et outils nationaux et étrangers sur la cybersécurité
Bien sûr, en plus des vidéos de support, nous organisons également divers documents, livres, matériaux et outils pour vous
Si vous souhaitez vous lancer dans le piratage et la sécurité du réseau, vous pouvez me trouver pour obtenir les informations ci-dessus, suivez-moi et envoyez-les automatiquement en arrière-plan ~
épilogue
L'industrie de la sécurité des réseaux est comme une rivière et un lac, où se rassemblent des personnes de toutes les couleurs. Par rapport à de nombreuses familles décentes avec des fondations solides dans les pays européens et américains (comprendre le cryptage, savoir protéger, pouvoir creuser des trous et être bon en ingénierie), nos talents sont plus hérétiques (beaucoup de chapeaux blancs peuvent ne pas être convaincus), donc dans l'avenir La formation des talents et En termes de construction, il est nécessaire d'ajuster la structure et d'inciter davantage de personnes à faire du "système et de la construction" "positif" qui combine "métier" et "données" et "automatisation" afin d'étancher la soif pour les talents et vraiment servir la société de manière globale. Internet offre la sécurité.
Déclaration spéciale :
ce tutoriel est un partage purement technique ! Le but de ce tutoriel n'est en aucun cas de fournir un support technique à ceux qui ont de mauvaises motivations ! Il n'assume pas non plus la responsabilité conjointe et solidaire résultant de l'utilisation abusive de la technologie ! Le but de ce didacticiel est de maximiser l'attention de chacun sur la sécurité du réseau et de prendre les mesures de sécurité correspondantes pour réduire les pertes économiques causées par la sécurité du réseau. ! ! !