基礎なしでネットワークセキュリティを学習するための良い提案はありますか?

ネットワークセキュリティの初心者は、まず次の点を明確にする必要があります。

ネットワークセキュリティを始めたばかりなのですが、何を学べばよいですか?

何を学ぶべきですか？

方向は何ですか?

選び方は？

次に、今何を勉強すればよいかわからない場合は、採用Web サイトにアクセスして、以下のようなさまざまな企業の募集要項を確認するのが最も簡単な方法です。

基本的なネットワークとネットワーキング、および関連機器の使用法を理解します。

Windwosサーバーの設定と基本的なネットワーク構成。

基本的な html、js、asp、mssql、php、mysql、およびその他のスクリプト言語を学びます。

さらに関連する Web サイトを設定し、Web サイト管理について詳しく学びます。

Linuxを学び、基本的なアプリケーション、システム構造、ネットワークサーバー構成、基本的なシェルなどを理解します。

Linux でのiptables やSnortなどの構築を学びます。

主に他の人の経験を参考にして、一般的なハッカー攻撃の手順、手法、アイデアなどを学び始めます。

さまざまなネットワークセキュリティツールのアプリケーション、スキャン、リモートコントロール、スニッフィング、クラッキング、および関連する補助ツールについて学びます。

一般的なシステムの脆弱性とスクリプトの脆弱性を学び、以前に学んだ内容に従ってそれらを包括的に適用します。

TCP/IPとネットワークプロトコル、およびその他の関連知識についての徹底的な研究。

データ分析をさらに詳しく学びます。

これらはあくまでも基礎的な知識であり、システムの内部構造、ネットワークプログラミング、脆弱性の研究開発などにはまだ関わっていません。。。

学習ルートが明確なJavaやC/C++などのバックエンド開発職とは異なり、ネットワークセキュリティは自ら探求する部分が多く、学ぶべきことが多く、体系化するのが難しいです。

近年、ネットワークセキュリティが国家安全保障戦略の一環として挙げられるなど細分化された分野の開発が加速しており、従来のセキュリティベンダーに加え、大手インターネット企業もこの分野への投資を増やしています。、続いて、どんどん注がれる新鮮な血を引き寄せます。

ネットワーク侵入のマスターになりたい場合は、オペレーティングシステム、ログ分析、トラフィック分析、脆弱性攻撃、セキュリティ監査、Web セキュリティ、ネットワークプロトコル、プログラミングなど、コンピューター、ネットワーク、プログラミングのフルスタック機能をマスターする必要があります。言語などを学ぶ必要があります。

これらは基礎講座の学習で得られるものもあれば、実戦訓練によって蓄積する必要があるものもあります。

1. 強固なコンピュータ基盤

専攻クラス以外の学生の場合、ネットワーク侵入を研究する学生のほとんどは、 Webフロントエンドおよびバックエンドテクノロジ、Web セキュリティ、および不足しているスキャンツールから学習を開始します。
これらのコンテンツは、コンピュータシステムの知識体系に対する要件が比較的低く、開始が早く、充実しています。
しかし、遅かれ早かれ、プレーに出たときに返済しなければなりませんし、取り残された基盤は後でさらに埋め直さなければなりません。ネットワーク侵入に
取り組む学生にとって、これらの基礎は何ですか? コンピュータの構成原理、データ構造、アルゴリズムについては説明しませんが、コンピュータネットワーク、オペレーティングシステムと Linux、Web 開発技術 (バックエンド + フロントエンド) の3 つは最も密接に関連しているため、これら 3 つはしっかりと勉強する必要があります。しっかり勉強してください！コンピュータネットワークを学習して初めて、ネットワーク通信の原理、ネットワークプロトコル攻撃とは何か、トラフィック分析の実行方法がわかります。オペレーティングシステムと Linux を学習すると、攻撃元を追跡する方法、システムセキュリティログを分析する方法、サーバー権限昇格の原理がわかります。Web 開発テクノロジーを学習すると、SQL インジェクション、XSS、CSRF、一文のトロイの木馬などの Web セキュリティ攻撃手法の背後にある原理と、脆弱性スキャンの実行方法がわかります。

2. 豊富な実戦訓練の蓄積

基礎的な知識は本を読んでも学べますが、実戦を通じて蓄積する必要があるものもあります。
たとえば、トラフィック分析やログ分析を通じてWebサイトの抜け穴を見つける
、POCを使用してサーバーをダウンさせる
、セキュリティ防御システムを構築するなど
、本には標準的な答えは記載されていないため、基礎が必要ですネットワークセキュリティの知識の習得何よりも、攻撃と防御の対立を通じて、自分自身のセキュリティ経験を豊かにし、自分自身のセキュリティ能力を確立します。
この点に関して、 CTF をプレイしたり、赤青対決に参加したり、ネットを守ったりすることでトレーニングできます。

まだ学習方法がわからない場合は、次のネットワークセキュリティ学習ルートを参照してください。

1. Web セキュリティに関する概念 (2 週間)

基本的な概念 (SQL インジェクション、アップロード、XSS、CSRF、一文のトロイの木馬など) に精通している。
キーワードによる Google/SecWiki (SQL インジェクション、アップロード、XSS、CSRF、ワンワードトロイの木馬など)。
「Mastering Script Hackers」を読んでください。非常に古くて誤りがありますが、それでも始めることができます。
実際の侵入の全プロセスを理解するには、いくつかの侵入メモ/ビデオを見てください。Google で調べてください (侵入メモ、侵入プロセス、侵入プロセスなど)。

2. 侵入関連ツールに精通する (3 週間)

AWVS、 sqlmap、Burp、nessus、chopper 、nmap、Appscan およびその他の関連ツールの使用に精通している。
このようなツールの目的と使用シナリオを理解するには、まずソフトウェア名 Google/SecWiki を使用します。
これらのソフトウェアのバックドアなしバージョンをダウンロードしてインストールしてください。
学習して使用するための特定の教材は SecWiki で検索できます。例: Brup のチュートリアル、sqlmap。
これらの一般的に使用されるソフトウェアを学習したら、Sonic Start をインストールして侵入ツールボックスを作成できます。

3. 潜入戦闘作戦（5週間）

侵入の全段階をマスターし、小規模なサイトに独立して侵入できるようになります。
インターネットで侵入ビデオを探して、アイデアや原則、キーワード (侵入、SQL インジェクションビデオ、ファイルアップロード侵入、データベースバックアップ、dedecms エクスプロイトなど)を見て考えてください。
自分でテストするためのサイトを見つけたり、テスト環境を構築したりしてください。自分自身を隠すことを忘れないでください。
思考の浸透は主にいくつかの段階に分かれており、各段階でどのような作業を行う必要があるか。
SQL インジェクションの種類、インジェクションの原理、および手動インジェクション手法を学びます。
ファイルアップロードの原理、切り詰め方、ダブルサフィックススプーフィング（IIS、PHP）、解析エクスプロイト（IIS、Nignix、Apache）などを調査します。
XSS 形成の原理と種類を学習します。具体的な学習方法は Google/SecWiki を使用できます。
Windows/Linux の権限昇格の方法と具体的な使用法を学びます。

4. セキュリティサークルの動向に注意を払う（1週間）

最新の脆弱性、セキュリティインシデント、セキュリティサークルの技術記事に注意してください。
SecWiki を通じて毎日のセキュリティテクノロジーの記事やイベントを閲覧します。
Weibo/twitter を通じてセキュリティサークルの実践者に注意を払い (大きな牛の注意や友人の決定的な注意に遭遇した場合)、時間をかけて毎日チェックしてください。
フィードリー/ フレッシュフルーツを通じて国内外のセキュリティ技術ブログを購読してください (国内に限定されません。通常は蓄積に注意を払います)。フィードがない場合は、SecWiki の集計列を参照してください。
毎日積極的にセキュリティ技術記事を送信して SecWiki にリンクし、蓄積する習慣を身につけましょう。
最新の脆弱性リストにさらに注意を払い、 exploit-db 、CVE 中国語ライブラリ、Wooyun などのいくつかを推奨し、公開されている脆弱性に遭遇したときに練習してください。
国内外のセキュリティ会議のトピックやビデオをフォローし、SecWiki-Conference をお勧めします。

5. Windows/Kali Linux に精通する (3 週間)

Windows/Kali Linux の基本コマンドと共通ツールを学びます。
Windows での一般的なcmd コマンド(ipconfig、nslookup、tracert、net、tasklist、taskkillなど) に精通していること。
ifconfig、ls、cp、mv、vi、wget、service、sudoなど、Linux での一般的なコマンドに精通していること。
Kali Linux システムでの一般的なツールについては、SecWiki、「Kali Linux による Web ペネトレーションテスト」、「Kali によるハッキング」などを参照してください。
Metasploit ツールに精通している場合は、SecWiki の「Metasploit ペネトレーションテストガイド」を参照してください。

6. サーバーセキュリティ設定（3週間）

サーバー環境の構成を学び、思考を通じて構成内のセキュリティ上の問題を発見できるようになります。
Windows2003/2008環境でのIIS構成では、構成のセキュリティと操作権限に特に注意してください。
Linux 環境における LAMP のセキュリティ構成では、主に実行権限、クロスディレクトリ、フォルダ権限などが考慮されます。
リモートシステムの強化、ユーザー名とパスワードによるログインの制限、iptables によるポートの制限。
ソフトウェア Waf を構成してシステムのセキュリティを強化し、サーバー上で mod_security およびその他のシステムを構成します。
Nessus ソフトウェアは、構成環境でセキュリティ検出を実行し、未知のセキュリティ脅威を検出するために使用されます。

7.スクリプトプログラミング学習（4週間）

Perl/Python/PHP/Go/Java のいずれかのスクリプト言語を選択して、一般的に使用されるライブラリのプログラミングを学習します。
開発環境を構築して IDE を選択します。PHP 環境では Wamp と XAMPP が推奨され、IDE では Sublime が強く推奨されます。
Python プログラミングの学習。学習内容には文法、正則化、ファイル、ネットワーク、マルチスレッド、その他の一般的なライブラリが含まれます。「Python コアプログラミング」をお勧めします。読まないでください。
Python で脆弱性のエクスプロイトを作成し、次に単純なWeb クローラーを作成します。
PHP の基本文法を学び、簡単なブログシステムを作成します。ビデオ「PHP および MySQL プログラミング (第 4 版)」を参照してください。
MVC アーキテクチャに精通しており、PHP フレームワークまたは Python フレームワーク (オプション) を学習してみます。
Bootstrap のレイアウトまたは CSS を理解する。

8. ソースコード監査と脆弱性分析（3週間）

スクリプトのソースコードプログラムを独自に分析し、セキュリティ上の問題を発見できます。
ソースコード監査の動的および静的方法に精通しており、プログラムの分析方法を知っています。
Wooyun からオープンソースプログラムの脆弱性を見つけて分析し、自分でも分析してみます。
Webの脆弱性の原因を理解し、キーワードで検索・分析します。
Webの脆弱性の形成原理と回避方法をソースコードレベルから検討し、チェックリストにまとめます。

9. セキュリティシステムの設計・開発（5週間）

独自のセキュリティシステムを構築し、セキュリティに関する提案やシステムアーキテクチャを提案できるようになります。
個人の強みを反映する実用的なセキュリティガジェットとオープンソースを開発します。
独自のセキュリティシステムを確立し、会社のセキュリティについて独自の理解と意見を持ちます。
大規模なセキュリティシステムのアーキテクチャまたは開発を提案または参加する。