序文
今回は、ネットワーク セキュリティを学習するための学習ルートと学習方法が記載されていますので、役に立ったと思われる場合は、3 回保存してください。
まず最初に、ネットワーク セキュリティの方向性を学ぶときに通常どのような問題が発生するかについて話しましょう。
1. 基礎を築くのに時間がかかりすぎる
基本を学ぶには長い時間がかかり、言語も複数あり、Linux のシステムやコマンドを学ぶ途中で挫折する人もいますし、言語の学習で挫折する人もいます。
2. 知識ポイントのレベルが明確ではない
ネットワーク セキュリティの基本的な内容については、どれだけ学べばよいのかわからずに鵜呑みにしてしまい、結果的に基本的な部分に時間がかかりすぎてしまう人が多く、HTML、PHP、データベースに関する本を買っている友人も多く見ました。 、コンピュータネットワークなどの本で、一冊一冊が依然として非常に高価です。分厚く、詳しく書かれた本が多いです。学べば学ぶほど自信がなくなっていくことがわかります。学べば就職できる人もいます。 PHP やデータベースを使用しますが、ネットワーク セキュリティについては非常に多くのことを学ばなければなりません。私は、間違った方向を選択したのではないかとますます疑念を抱いています。
3. 知識ポイントでは重要なポイントを区別できない
多くの人は、基本的な内容を学ぶために多大なエネルギーを費やしてきましたが、多くの知識はその後のネットワーク セキュリティにほとんど関係がなく、重要なポイントを区別できず、多くの時間を無駄にしていることがわかりました。
4. 知識ポイントの学習は体系的ではない
ステーション b でたくさんのビデオを探している友達がたくさんいるのを見て、他のプラットフォームで小さなレッスンをいくつか購入しました。Baidu クラウド ディスクには 1 ~ 2T の学習教材やビデオ コンテンツもありますが、完了するには多額の費用がかかります各カテゴリを学習しました。時間と内容の多くは繰り返しです。SQL インジェクションを学習した後、後で別の企業が SQL インジェクションについて話しているのを見ました。悪くありませんでした。もう一度勉強して、Web 脆弱性の原則をすべて学習した後であることがわかりました。 , 私自身もまだよくわかりませんが、Web の脆弱性について何も学習していませんか?
5. 一人で問題を解決するのは難しい
初心者の場合、多くの人が自分で射撃場を構築しますが、構成環境やその他の理由により、大幅な遅延が発生します。特に初心者は、解決できない問題が 3 つ連続して発生すると、簡単に諦めてしまいます。実践能力が低いクラスメートにとって、これは学習を続ける自信に直接影響する可能性があります。
6. 実戦レベルでは物足りない
ネットワーク セキュリティと侵入テストのテクノロジを学習する場合、実際に学ぶのは「ハッキング」テクノロジです。攻撃と侵入の方法を学ぶことで、システムとアプリケーションを防御する方法をよりよく理解できます。これはまさにネットワークです。理論だけで実践経験が少ない場合、仕事を得るのはさらに難しくなります。通常の勉強では、練習用にオープンソースの射撃場をいくつか構築することに加えて、本物の抜け穴で構成された射撃場を用意するのが最善です。 SRC プラットフォームにアクセスして実際の Web サイトをいくつかテストすることはできます (実際の Web サイトに侵入するには認証を取得する必要があります) が、それを見つけるのは比較的難しく、多くの初心者は自信を失い、自分自身を疑うことになります。
7. イントラネット学習はより困難です
Web の普及に関する情報はインターネット上に溢れており、比較的容易に学ぶことができますが、インターネット上のイントラネット上の資料は比較的少なく、参考となる資料は多くありません。学習はさらに困難になります。
問題を理解し、同時に自分の特性と組み合わせて学習の方向を調整すると、半分の労力で 2 倍の成果が得られます。以下に、さまざまな学習グループに適した 3 つの学習ルートを示します。
ハッキングとネットワーク セキュリティに参加したい友人の皆さん、私は全員のためにコピーを用意しました。ネットワーク全体で最も完全なネットワーク セキュリティ データ パッケージである 282G を無料で提供します。
困っている友達は、[下の QR コードをスキャン] して無料で入手できます。
方法 1: 最初にプログラミングを学び、次に Web の普及やツールの使い方などを学びます。
対象者: 特定のコード基盤を持つ小規模パートナー
(1) 基本部分
基本的な部分では次のことを学ぶ必要があります。
(1.1) コンピュータネットワーク:
OSI、TCP/IP モデル、ネットワーク プロトコル、ネットワーク機器の動作原理などの学習に重点を置き、他のコンテンツをすぐに読んでください。
(1.2) Linux システムとコマンド:
現在市場に出回っている Web サーバーの 70% は Linux システム上で実行されているため、Web システムに侵入する方法を学びたい場合は、少なくとも Linux システムに精通している必要があり、一般的な操作コマンドを学ぶ必要があります。
**学習のヒント: **一般的なコマンドの 10% を習得すれば、業務シナリオの 90% に適用できます。オフィス ソフトウェアと同様に、よく使用される機能の 10% をマスターしてください。日常の基本的な使用には問題ありません。 Du Niang にアクセスしてください。一般的な Linux コマンドは 50 ~ 60 個しかなく、多くの初心者はすべてのコマンドを飲み込んで学習しますが、覚えられません。!!!この学習方法も間違っています。
(1.3) Web フレームワーク:
Web フレームワークの内容に精通しており、フロントエンドの HTML、JS およびその他のスクリプト言語で十分であり、バックエンドの PHP 言語が学習の焦点です。開発のアイデアに従って言語を学習しないように注意してください。 PHP の最小要件は、コードを読めることです。もちろん、コードを書くことが最善です。ただし、開発ではなく、開発ではなく、しかし開発ではありません。重要なことは 3 回言います。
(1.4) データベース:
SQL 構文を学習する必要があり、共通データベース MySQL を使用して対応するデータベース構文を学習する必要があります。これも同様です。SQL の高度な構文を理解することができます。深く学びすぎます。
(2) Webセキュリティ
(2.1) Web の浸透
OWASP によってトップにランク付けされた 10 を超える一般的な Web 脆弱性の原理、利用法、防御、その他の知識ポイントをマスターし、それらを特定の射撃練習場での演習と照合します。初心者の中には、情報をどこで見つけたらよいか尋ねる場合があります。直接購入することをお勧めします。より権威のある本を読んで、ステーション b の無料ビデオ システムで学習し、オープンソースの射撃場を使用して練習を支援します。
**【おすすめ書籍】**ホワイトハットが語るWebセキュリティ(アリ・ホワイトハットハッカー・ダオ・シェンダオ著)
**【推奨射撃場】** 一般的な射撃場はgithubで検索できます DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachuなどの射撃場が推奨です。総合的な射撃場であり、一部は脆弱性に特化した射撃場です。
(2.2) ツールの学習
Web 普及の段階でも、必要なツールをいくつか習得する必要があります。ステーション b には、ツールを学ぶためのビデオがたくさんあります。よく説明されたビデオを選んで視聴してください。1 つのツールで多数のビデオを見ないでください。ほとんどのツールは、ビデオは繰り返しが多く、時間を無駄にします。
**マスターすべき主なツールとプラットフォーム: **burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、プロキシ ツール ssrs、hydra、medusa、airspoof など。上記のツールは、上記のオープン ソースを使用して実践できます。射撃場 練習するには十分です。
演習はほぼ完了 SRC プラットフォームにアクセスして実際の現場に潜入し、突破口があるかどうかを確認する WAF バイパスを伴う場合は、WAF バイパスに特化した学習が必要 姿勢はそれほど多くない 体系的に学習し、次に、より多くの経験をより高いレベルに要約します。
(2.2) 自動侵入
自動侵入には言語を習得する必要があり、それを熟練して使用する必要があります。すでに使い慣れている言語ならどれでも構いません。十分に使いこなせない場合は、Python を学ぶことをお勧めします。主な理由は次のとおりです。簡単に見えてモジュールがたくさんあるので、いくつかのスクリプトやツールを書くのに非常に便利です。
なんてこったい?プログラミングも学ぶ必要があります。先ほど、ネットワーク セキュリティを学ぶのにプログラミングは必須条件ではないと言いましたよね? 自動化の浸透を理解していないと、就職や就職には影響しませんが、キャリア形成には影響しますPython を学ぶには、多くの不必要なモジュールを習得する必要はありません。数千行のコードを開発する必要があり、それを使用して一部のツールやスクリプトを作成するだけで、コードは 10 行程度、コードは 1 ~ 200 行程度です。たとえば、ドメイン名クローラー コードのコア コードは、わずか 1 ~ 20 行に簡略化されています。
友達の中にはまた不安になる人もいるかもしれませんが、どうやって学ぶ必要がありますか?
Python の文法を学ぶには数日かかりますが、コードベースがあれば、言語はすべてつながっているため、早ければ 1 日で Python の文法を学ぶことができますが、言語を学ぶ最速の方法です。コードを書くことだけであり、他の方法は何もありません。その後、クローラ、ポート検出、データ パケットのコア コンテンツ抽出、イントラネットのアクティブ ホスト スキャンなどの一般的なツールの作成を開始できます。そのようなコードはオンラインで検索できます。次に、いくつかの POC と EXP を書きます。スクリプトは射撃場で練習できます。一部の友人は、POC と EXP とは何なのかをもう一度尋ねる必要があるかもしれません。自分で行って、それを行う良い習慣を身に付けてください。
(2.3) コード監査
なんてこったい?もう一度コードを見てください。ここでの内容は比較的高いコーディング能力を必要とするため、コーディング能力が弱い場合は、最初にこの部分の学習をスキップしても、浸透の道での学習と開発に影響を与えることはありません。
ただし、Web の普及をさらに進めたい場合は、バックエンドの開発言語に習熟する必要があります。バックエンドで php を使用して開発された Web サイトが最も多くを占めるため、PHP をお勧めします。もちろん、Python にも習熟している必要があります。 ASP、Java、その他の言語については、おめでとうございます。すでに良い基礎ができています。
コード監査は、その名前が示すように、他人の Web サイトまたはシステムのソース コードを監査し、ソース コードまたはコード環境 (ホワイト ボックス テストのカテゴリに属する) を監査することによってシステムの抜け穴を監査します。
では、どうやってそれを学ぶのでしょうか?具体的な学習内容を順に列挙すると以下のとおりです。
- PHP のいくつかの危険な機能とセキュリティ構成をマスターします。
- コード監査のプロセスと方法に精通している。
- seay などの 1 ~ 2 つのコード監査ツールをマスターします。
- 一般的な機能監査方法をマスターします (自信を持って監査できるよう、AuditDemo を監査することをお勧めします)。
- 一般的な CMS フレームワーク監査 (困難)。
**【おすすめ書籍】** コード監査には「Code Audit: Enterprise-level Web Code Security Architecture」という洋書がありますが、時間があるときに読んでいただくのはもちろん、システム入門のセットを探すのもおすすめですステーション b のコース 学習に進み、github で AuditDemo を見つけ、ソース コードをダウンロードし、ローカル仮想マシン上でビルドし、ツールと監査メソッドを使用して AuditDemo の 10 個の脆弱性を監査します。難易度分布は正規分布に準拠しています。それに挑戦することができます。
CMS フレームワークの監査に関しては、いくつかの CMS 公式 Web サイトにアクセスし、歴史的に脆弱なバージョンをダウンロードして監査することができます。公式 Web サイトのユーザー マニュアルを使用してフレームワークを学ぶことができます。たとえば、ThinkPHP3.2 バージョンにはいくつかの抜け穴があり、コードを理解しようとすることはできますが、CMS フレームワークのコード量は比較的多いため、コードを思いついてすぐに見ないように注意してください。最初にフレームワークを体系的に学習しないと、基本的には次のような状態になります。理解できない状態; フレームワーク; 実際、それはあなたが思っているほど難しくありません。もしあなたがキャリアを変えた開発者なら、おめでとうございます、あなたはすでにコード監査の固有の利点を持っています。
そこで何人かの友人が再度尋ねました。私のコードは非常に貧弱です。コード監査を学ばないことはできますか。コード監査はネットワーク セキュリティを学ぶのに必須条件ではありません。マスターするのが最善です。失敗してもその後の勉強や就職には影響しません。それをマスターするには、Web 侵入、イントラネット侵入、自動侵入など、より専門的かつ熟練するための段階と練習を選択する必要があります。
(3) イントラネットのセキュリティ
おめでとうございます。これを学べば、基本的に、ペネトレーション テスト、Web ペネトレーション、セキュリティ サービス、セキュリティ分析などのネットワーク セキュリティに関連する仕事に就くことができます。
雇用の範囲を広げ、技術的な競争を強化したい場合は、イントラネットの浸透についてさらに学ぶ必要があります。
イントラネットの知識は少し難しく、現在市販されている学習教材や射撃場と一定の関係があり、イントラネットの主な学習内容は主に次のとおりです: イントラネット情報収集、ドメイン侵入、プロキシおよび転送技術、アプリケーションシステム権限昇格、ツール学習、ウイルス対策技術、APT など。
専門用語について私に話さないでください。具体的にどうやって学ぶの?
**【おすすめの本】** この質問はちょっと大きいです、えっ、えっ、えっ!「イントラネット セキュリティの攻撃と防御: ペネトレーション テストの実践ガイド」を読むことができます。この本はよく書かれており、イントラネットについて説明している中国の数少ない本の 1 つです。
小さなお友達は、イントラネットの射撃場にどこからダウンロードできるか、もう一度尋ねなければなりません。うーん、うーん、うーん!これは私を困惑させます。十分な体力と高度なコンピュータ構成を持っている場合は、仮想マシンを使用してイントラネット環境を構築できます。通常、仮想マシンは 3 つ以上必要です。海外にはイントラネット射撃場もいくつかあります。射撃場はOKです。
(4) 浸透と拡大
浸透・拡大の部分も職種と密接な関係があり、可能な限り習得することが求められますが、主にログ分析、セキュリティ強化、緊急時対応などがあり、その中でも特に注力しているのが「浸透・拡大」です。最初の 3 つの部分は、インターネット上にこの分野に関する情報があまり多くありません。また、整った書籍や資料もあまりありません。業界関連の技術グループや業界が共有する資料を通じて学ぶことができます。このステップでは、基本的には入門に成功したとみなされ、ログ分析、セキュリティ強化、緊急時対応について学び、知識も比較的簡単です。
方法 2: 最初に Web の普及とツールを学び、次にプログラミングを学ぶ
対象者:コーディング能力が非常に弱い人、またはコーディング能力が全くない人、その他基礎力の低い友人
そうすれば、友人の中には、十分な基礎がないのに、どうやって Web の浸透を学ぶのかと尋ねる人もいるでしょう。
Linux システム、コンピュータ ネットワーク、小さな Web フレームワーク、データベースなど、基本的な部分はまだ学習する必要があり、事前に習得する必要があります。
php 言語、自動ペネトレーション、コード監査などの一部のコンテンツは最後に置くことができ、以前の知識を学習した後、言語を学習するのは比較的簡単です。
**【優先推奨事項】** 方法 2、初心者の場合、コードの基礎が通常弱く、多くの初心者は初期段階で言語学習に陥るため、最初に方法 2、Web の浸透とツールを学ぶことをお勧めします, そして、そのほうが面白くて、高い学習意欲や熱意を維持しやすいのですが、具体的な学習内容については割愛しますので、方法1を参照してください。
方法 3: 学ぶ研修機関を選択する
対象者:体系的な学習、実践力の向上、転職、早期就職が必要な小規模パートナー
さて、話はこれで終わりです。自分に合った学習方法を選択してください
ハッキングとネットワーク セキュリティに参加したい友人の皆さん、私は全員のためにコピーを用意しました。ネットワーク全体で最も完全なネットワーク セキュリティ データ パッケージである 282G を無料で提供します。
困っている友達は、[下の QR コードをスキャン] して無料で入手できます。
これらの基礎を踏まえて、より深く学習したい場合は、以下の非常に詳細な学習ロードマップを参照してください。このルートに従って学習するだけで、優れた中級および上級のネットワーク セキュリティ エンジニアになることができます。
研究で収集されたビデオやドキュメントのリソースもいくつかあり、必要に応じて自分で撮影できます。
セクションに対応する各成長パスのサポートビデオ:
もちろん、サポートビデオに加えて、さまざまなドキュメント、書籍、資料& ツールも整理されており、誰もが分類するのに役立ちます。
スペースに限りがあるため、情報の一部のみが表示されます。必要な
友達は [下の QR コードをスキャン] して無料で入手できます:)
スペース
の制限により、資料の一部のみが表示されます。
[下の QR コードをスキャン] して無料で入手できます。