1. ネットワークセキュリティ独学学習の誤解と落とし穴
1. プログラマーになろうとせず(プログラミングベースの学習)、それから学習を始めてください。
以前の回答で、私はプログラミングに基づいてネットワーク セキュリティの学習を開始しないことを繰り返し強調してきました . 一般に、プログラミングの学習は学習サイクルが長いだけでなく、実際にセキュリティに移行した後に利用できる重要な知識もあまりありません。
一般の人がプログラミングをしっかり学びたいと思ってネットワークセキュリティを学び始めると、長い時間がかかることが多く、途中で挫折してしまいがちです。また、プログラミングの学習は単なるツールであり、目的ではありません。私たちの目標はプログラマーになることではありません。ネットワークセキュリティを学習する過程で、埋められないものを埋めることは、より目的があり、時間を節約することをお勧めします。
2. ディープラーニングを最初の教訓として受け取らないでください
ネットワークセキュリティをしっかりと学ぶことを目的としている人が多いので、力が入りすぎて誤解に陥りがちです。すべての内容を深く学ぶことですが、最初の授業としてディープラーニングを使用するのは正しくありませんネットワークセキュリティの良いアイデアです。その理由は次のとおりです。
[1] ディープラーニングのブラックボックスの性質がより明白であり、学習して飲み込みやすい
【2】ディープラーニングはそれ自体に要求が高く、独学には不向きで行き詰まりやすい
3. あまりにも多くのデータを収集しないでください
インターネット上にはネットワーク セキュリティに関する学習教材が多数あり、毎回ダウンロードしたり視聴したりできる数ギガバイトの教材があります。また、多くの友人は「コレクション中毒」で、一度に十数冊の本を購入したり、数十本のビデオを集めたりしています。
多くのオンライン学習教材は非常に反復的で、コンテンツのほとんどは数年前から更新されていません。入門期間中は、「小さくても洗練された」教材を選択することをお勧めします。以下に、Xiaobai に適していると思われる学習リソースをいくつか紹介します。辛抱強く読み続けてください。
2. ネットワーク セキュリティを学習するためのいくつかの事前準備
1. ハードウェアの選択
「ネットワーク セキュリティを学ぶには、高度な構成のコンピュータが必要ですか?」とよく尋ねられますが、答えは「いいえ」です。ハッカーが使用するコンピュータは、安定している限り、高度な構成は必要ありません。 , ローエンドの CPU も非常に快適に動作し、メモリもあまり消費しません。もう 1 つ、ハッカーは DOS コマンドで実行されるため、コンピュータを最高の状態で使用できます。学習という名目でマシンを再購入しないでください...
2. ソフトウェアの選択
多くの人は、ハッカーが Linux、Windows、Mac システムのどれを使用するかを学ぶことに巻き込まれることになるでしょう。Linux は見た目はクールですが、初心者にとってはフレンドリーではありません。Windows システムは、仮想マシンを使用して学習用のターゲット マシンをインストールすることもできます。
プログラミング言語としては、拡張サポートが充実しているPythonが最もおすすめです。もちろん、市販されているWebサイトの多くはPHPで開発されているため、PHPを選択することも可能です。他の言語には C++、Java などがあります。
多くの友人は、すべての言語を学びたいかどうか尋ねます。答えは否定的です!上の私の文を引用すると、プログラミングの学習は単なるツールであり、目的ではありません。私たちの目標はプログラマーになることではありません。
(ここでさらに言及しておきたいのは、プログラミングを学習したからといってすぐに始めることはできませんが、ネットワーク セキュリティの道をどこまで進むことができるかを決定することができるため、基本的なプログラミングの知識を独学で学習することをお勧めします)
3. 語学力
コンピューターが最初に発明されたのは西洋であり、多くの名詞やコードは英語であることはわかっています。既存のチュートリアルの一部でさえ、元々は英語から翻訳されており、バグが中国語に翻訳されるまでには通常 1 週間かかります。脆弱性はパッチされている可能性があります。この時点での差。また、専門用語を理解していないと、他のハッカーと技術や経験を伝えるときに障害が発生するため、ある程度の英語とハッカーの専門用語が必要です(特に熟練している必要はありませんが、理解する必要があります)。基本的なことは理解できる)
例: ブロイラー、吊り馬、貝殻、WebShell など。
3. ネットワークセキュリティ学習ルート
第一段階:基本操作を始め、基礎知識を学ぶ
始めるための最初のステップは、現在主流のセキュリティ ツール コースと基本原則に関するサポート書籍を学ぶことであり、一般に、このプロセスには約 1 か月かかります。
この段階で、サイバーセキュリティについての基本的な理解はすでに得ています。最初のステップを終えた方は、SQL インジェクションとは何か、xss 攻撃とは何か、ということを理論的に理解していると思います。また、burp、msf、cs などのセキュリティ ツールの基本操作もマスターしていると思います。この時点で最も重要なことは、基礎を築き始めることです。
いわゆる「基礎」とは、実はコンピュータの基礎知識を体系的に学ぶことです。ネットワーク セキュリティをしっかり学びたい場合は、まず次の 5 つの基本知識モジュールを習得する必要があります。
1. オペレーティング システム
2. プロトコル/ネットワーク
3. データベース
4. 開発言語
5. 一般的な脆弱性の原則
これらの基本を学ぶことが何の役に立つのでしょうか?
コンピューターのさまざまな分野の知識レベルによって、浸透レベルの上限が決まります。
[1] たとえば、高いレベルのプログラミングを持っている場合、コード監査では他の人よりも優れており、作成したエクスプロイト ツールは他の人よりも使いやすくなります。
[2] たとえば、データベースに関する高度な知識があれば、SQL インジェクション攻撃を実行するときに、他の人がバイパスできない WAF をバイパスできる、より優れた SQL インジェクション ステートメントを作成できます。
【3】例:ネットワークレベルが高いと、内部ネットワークに侵入する際に他のネットワーク構造よりも容易に対象のネットワーク構造を把握でき、自分がどこにいるのかを把握するためのネットワークトポロジーを取得したり、構成を取得したりすることができます。 router. ファイルの内容を確認すると、どのようなルートが作成されたかがわかります。
【4】別の例として、OSが良いと権限が強化され、情報収集効率が上がり、欲しい情報を効率的に絞り込むことができます。
第2段階:実際の運用
1. SRC の採掘
SRC を掘る目的は、主にスキルを実践することです。ネットワーク セキュリティを学ぶことの最大の幻想は、すべてを知っていると感じることですが、穴を掘ることになると何もできません。SRC は非常に良い機会です。スキルを適用するため。
2. 技術共有投稿から学ぶ(脆弱性マイニングタイプ)
過去10年間のゼロデイマイニング投稿をすべて見て勉強し、抜け穴を再現する環境を構築し、作者の掘り下げ思考を考え学び、自分自身の突き抜けた思考を養います。
3. 範囲練習
射撃場を自分で建設するか、無料の射撃場のウェブサイトにアクセスして練習するか、条件が整えば購入するか、信頼できる訓練機関に申し込むことができます。一般に、射撃場の練習をサポートするものがあります。
フェーズ 3: CTF 競技会または HVV 運用に参加する
推奨:CTFコンペティション
CTFには3つのポイントがあります。
【1】実戦に近いチャンス。今はネットワークセキュリティ法が非常に厳しくなったので、以前と違って誰でも自由に遊べるようになりました。
[2] トピックはテクノロジーの最前線に遅れをとっていますが、多くの本は遅れをとっています
【3】大学生であれば将来の就職にとても役立ちます
CTFの大会をプレイしたい場合は直接大会の質問へ、大会の質問が分からない場合は分からない内容に応じた情報へアクセスしてください
推奨: HVV (ネットワーク保護)
HVV には次の 4 つのポイントがあります。
[1] 運動量も多く、自分自身のスキルアップにもなりますので、毎年開催されるHVVアクションに参加するのがベストです
【2】サークル内で多くの偉人と出会い、人脈が広がる
【3】HVVは給料も非常に高いので参加すればかなり稼げます
【4】CTFコンテストと同様、大学生であれば将来の就職にも非常に役立ちます
第四に、教材の推奨
一般的なインターネット セキュリティとフォーラム
Kanxue フォーラム
セーフティ クラス
セーフティ ニウ
セーフティ 内部リファレンス
グリーン リーグ
預言者コミュニティ
XCTF アライアンス
4. ハッカーの 7 つのレベル
ハッカーは多くの人にとって誘惑に満ちています。多くの人は、この分野が他の分野と似ていることに気づくでしょう。深くなればなるほど、畏敬の念を感じるでしょう。知識は海のようなもので、ハッカーにもいくつかのレベルがあります。Chuangyu CEO ic (a) の共有を参照してください。世界トップのハッカー チーム 0x557 のメンバー)は次のとおりです。
レベル 1 の Lengtouqing [数百万人]:セキュリティ ツールの使用方法を知っており、パスワードを簡単にスキャンして解読することしかできません。
レベル 2 のシステム管理者 [数万人]:セキュリティ ツールをうまく活用し、特に
システムの開発に精通しており、ネットワーク レベル 3 の大企業 人材または中核セキュリティ会社 Da Niu [数千人]:オペレーティング システムに精通しており、コードの開発を開始し、独自のスキャナーを作成
レベル 4 で脆弱性を見つけて悪用できる [数百人]:抜け穴を見つけることができる自分で0DAYを見つけてExpを書いて抜け穴を突く、システムでプロトコルテストをして抜け穴を見つける
レベル5の上級レベル[100人未満]:システムを守り構築する人
レベル6のエリートレベル[数十人から十数人] [少数]:オペレーティング システムについてよく理解している 詳細
レベル 7 Big Niu Niu [少数]:マーク ザッカーバーグ、アルバート アインシュタイン、および世界を変えたその他の人々
あなたは今どのレベルにいるかわかりますか?私がどのレベルにいるのか疑問に思っているかもしれませんが、私のレベルは高くなく、ブレークスルーを求めている途中です。しかし、他の 2 つのスキルも練習してきたので、もっと面白い突破口を開くことができるかもしれません。
観察することを学ぶ
私はよく「インターネットには宝物が溢れている。観察することが第一に必要なスキルだ」と言います。観察して要約するのが得意であれば、いくつかの方法をより早く発見できるため、他の方法よりも作業が楽になります。
丸
上記のプロセスで、いくつかの ID に必ず慣れるでしょう。友達を作りたいですか?自分の強みを見せてください。共有することが重要です。誰も手を差し伸べたり荒らしたりすることを好みません。
次のサークルのすべてのグループの古典的な属性を理解し、「The Selfish Gene」と「The Crowd」という本をお勧めすることを特にお勧めします。
創造性
クリエイティブになるためには 2 つの重要なポイントがあると前述しました。1 つは「ビジョン」、もう 1 つは「集中力」です。視野は水平方向、集中力は垂直方向ですが、人間のエネルギーには限りがあるため、この二つのバランスが必要です(エネルギー保存の法則)。どちらか一方のバランスが崩れている限り、どちらも存在しません。
ほとんどの人にとって、集中することは最も困難ですが、結局のところ、これはエントロピー削減の即時プロセスであり、情報の自己組織化のプロセスです。真剣に言うと、あなたは集中力のせいで宇宙の終わりを加速させました。なぜかというと、ここでは展開しません。つまり、集中するのは非常に難しく、何度も無理をしなければなりません。
利己的な遺伝子のせいで、人間は常に意識的または無意識的に創造性を爆発させています。創造性によっては世界を変えることができ、創造性によっては家族を変えることができ、創造性によっては自分自身を変えることができます。これらはすべて創造性です。どの程度の創造性が必要かは、あなたの遺伝子と、あなたが何になりたいかによって決まります。
結局のところ、世界を変えることができる人は「非常に少ない」のです...
学習ルートを添付します
画像が大きすぎてプラットフォームの圧縮によりはっきりと見えない場合は、私をフォローしてバックグラウンドで自動的に送信できます
ビデオサポート資料と国内外のサイバーセキュリティ書籍、ノート、ツール
もちろん、サポートビデオに加えて、さまざまなドキュメント、書籍、資料、ツールも整理しています。
ハッキングとネットワークセキュリティに興味がある場合は、私を見つけて上記の情報を取得し、私をフォローしてバックグラウンドで自動的に送信してください〜
エピローグ
ネットワーク セキュリティ業界は、さまざまな肌の色の人が集まる川と湖のようなものです。ヨーロッパやアメリカ諸国の強固な基盤を持つ多くのまともな家族(暗号化を理解し、保護する方法を知っており、穴を掘ることができ、エンジニアリングが得意)と比較すると、私たちの才能はより異端です(多くのホワイトハットは納得していないかもしれません)。今後の人材育成と構築面では、渇きを潤すために「ビジネス」と「データ」「自動化」を組み合わせた「前向きな」「システムと構築」をより多くの人が行えるよう仕組みを整えていく必要があるインターネットはセキュリティを提供します。
特記事項:
このチュートリアルは純粋に技術的な共有を目的としています。このチュートリアルの目的は、悪意のある人々に技術サポートを提供することではありません。また、テクノロジーの悪用から生じる連帯責任も負いません。このチュートリアルの目的は、全員がネットワーク セキュリティに最大限の注意を払い、それに対応するセキュリティ対策を講じて、ネットワーク セキュリティによって引き起こされる経済的損失を軽減することです。!!!