学習+実践が現状唯一の方法で、9月に独学でサークル入りに成功。私自身の学習過程についてお話しますが、私は N 株のお金を払って初めて学習しました。
まず侵入テストのプロセス全体を理解し、プロセス全体の式を覚えておいてください。
情報の収集と管理、脆弱性マイニング、イントラネットの試行、危険性の強化、レポートのパッケージ化。その中でも情報収集が最も重要であり、ルーチン的な情報をプロセスに沿って見つけ出すだけで十分だと考えてはいけません。サブドメイン、機密ディレクトリ、機密情報、これらのものは長い間カバーされており、掘り出せる情報ポイントはすべて他人に知られています。私が初期に学んだ情報収集は Google ハックや Bing Grammar や Yujian に基づいてスキャンするだけですが役に立ちません。組み合わせパンチは、JS フロントエンドの機密情報、Google Grammar、ツール、GitHub、fofa、一部の大学や企業もマイニングするには公式アカウントと協力する必要があります。
発掘された情報を整理し、脆弱性、SQLインジェクションの存在ポイント、不正な存在ポイント、xssの存在ポイントの管理と悪用を開始します。
確かに、これはチュートリアルをコピーするスクリプトキディに少し似ていますが、非常に効率的です。システムを学びたい場合は、悪用可能な脆弱性が存在することを知るために、最初に脆弱性の原理を学ぶことをお勧めします。より多くの機能ポイント。
次のステップは、危険性を改善する方法ですが、一般に、脆弱な管理者パスワード、不正な JS、ファンクション ポイントSQL インジェクションなどの脆弱性は簡単に見つかり、これらの脆弱性の危険性レベルは一般に中リスクです。サーバーや getshell への被害は深刻またはハイリスクになる可能性がありますが、特定の通信のように機密情報の漏洩が 1 億件を超える場合は、ハイリスクで深刻な事態になる可能性もあります。
レポートの書き方については話しませんが、配信プラットフォームを少し美化するなら美化する必要はありません、甲に渡すなら脆弱なパスワードを破らなければなりません。
プロセスを理解した後、どのように学習するかを議論する必要があります。学習には機関学習と独習の 2 つのチャネルがあります。
どのチャンネルも一長一短があり、独学費用は安いが生計を立てるのが難しく、組織の費用も高いが仕事が大変なので、どのチャンネルもお勧めしません。は社内で昇進しており、あらゆる種類のcisp は試験スキルを持っていますが、cisp の金含有量は高くないかもしれませんが、スキルの証明としてはかなり重要です。2番目に、少しお話したいのですが、多くの団体は雇用と仕事を提供しますと言っていますが、実際には、ほとんどの団体は学生を委託しています。KPIを達成して雇用を提供すれば十分です。しかし、それがどのくらいの期間であるかは言いませんでした。 「1か月もパッケージです。その時は必要ありません。人々はあなたのためにそれを開く理由を見つけるだけです。それに、インターネットのセキュリティが非常に複雑になっている今、機関から大学とどうやって比較できますか?」
独学の場合、業界の上位20%のみが選択権を持ち、残りは賞金稼ぎにしかなれません。上位20%については、そのほとんどが七西南、360、アリなどにいます。賞金稼ぎには大きなボスもいて、一晩で数千元を稼ぐこともでき、一晩中掘り続けるのは本当に疲れますが、また、多額の資金があり、SRC、特に採掘会社のSRCがあり、そのうちの1つは数万ドル、もう1つは保護ネットであり、1日あたり3〜4千の収入があり、これも多くの人々を殺しています。
ハッキングとサイバーセキュリティの学習方法
今日、私の記事に「いいね」を押していただければ、オンライン セキュリティ学習教材の私個人のコレクションを無料で共有しますので、そこに何があるか見てみましょう。
1. 学習ロードマップ
攻撃や守備でも学ぶべきことはたくさんありますが、具体的に学ぶべきことは上記のロードマップにすべて書きましたので、それを習得できれば就職や民間の仕事に就いても問題ありません。
2. ビデオチュートリアル
インターネット上には多くの学習リソースがありますが、基本的に不完全です。これは私が録画したサイバー セキュリティに関するビデオ チュートリアルです。上記のロードマップのすべての知識ポイントについてサポートするビデオ説明を用意しています。
内容は、ネットワークセキュリティ法の学習、ネットワークセキュリティ運用等の保証評価、ペネトレーションテストの基礎、脆弱性の詳しい説明、コンピュータの基礎知識など、ネットワークセキュリティを始める際に知っておくべき学習内容です。
(すべてが1つの作品に詰まっており、1つずつ展開することはできません。合計300以上のエピソードがあります)
スペースに限りがあるため、情報の一部のみが表示されています。以下のリンクをクリックして入手してください。
CSDN のスプリー: 「ハッカーとネットワーク セキュリティ入門 & 高度な学習リソース パック」無料共有
3. 技術資料と電子書籍
また、大規模なネットワークセキュリティ運用、CTF、SRC脆弱性マイニングに参加した経験や技術的ポイントを含む技術文書も私自身が編集したもので、電子書籍も200冊以上あります。一つ一つ表示しません。
スペースに限りがあるため、情報の一部のみが表示されています。以下のリンクをクリックして入手してください。
CSDN のスプリー: 「ハッカーとネットワーク セキュリティ入門 & 高度な学習リソース パック」無料共有
4. ツールキット、インタビューの質問、ソースコード
「良い仕事をしたいなら、まず自分のツールを磨かなければなりません。」 私は、誰にとっても最も人気のある数十のハッキング ツールをまとめました。取材範囲は主に情報収集、Androidハッキングツール、自動化ツール、フィッシングなどです。興味のある学生はぜひご覧ください。
私のビデオで言及されているケースのソース コードと対応するツールキットもあり、必要に応じて持ち帰ることができます。
スペースに限りがあるため、情報の一部のみが表示されています。以下のリンクをクリックして入手してください。
CSDN のスプリー: 「ハッカーとネットワーク セキュリティ入門 & 高度な学習リソース パック」無料共有
最後に、私が過去数年間で整理したインターネット セキュリティに関する面接の質問があります。インターネット セキュリティの仕事を探しているなら、間違いなく大いに役立つでしょう。
これらの質問は、Sangfor、Qi Anxin、Tencent などの大手企業の面接でよく聞かれます。良い質問や良い洞察があれば、ぜひ共有してください。
参考分析: Sangfor 公式 Web サイト、Qi Anxin 公式 Web サイト、Freebuf、csdn など。
コンテンツの特徴: グラフィック表現を含む明確な構成により、理解しやすくなります。
内容の概要: イントラネット、オペレーティング システム、プロトコル、ペネトレーション テスト、セキュリティ サービス、脆弱性、インジェクション、XSS、CSRF、SSRF、ファイル アップロード、ファイル ダウンロード、ファイル インクルード、XXE、ロジック脆弱性、ツール、SQLmap、NMAP、BP、国境なき医師団…
スペースに限りがあるため、情報の一部のみが表示されています。以下のリンクをクリックして入手してください。