1. ネットワークセキュリティとは何ですか?
ネットワークセキュリティは攻撃と防御の観点から分類でき、よく聞く「レッドチーム」や「ペネトレーションテスト」は攻撃手法を研究し、「ブルーチーム」「セキュリティ運用」「セキュリティ運用保守」は防御を研究します。 .テクノロジー。
ネットワーク、Web、モバイル、デスクトップ、クラウドなどの分野を問わず、Webセキュリティ技術にはWebペネトレーション技術とWeb防御技術(WAF)の両方があり、攻撃と防御の両面が存在します。資格のあるネットワーク セキュリティ エンジニアとして、攻撃と防御の両方を行う必要があります。結局のところ、自分自身と敵を知ることによってのみ、すべての戦いで勝利することができます。
2. ネットワークセキュリティを計画する方法
セキュリティ業界の初心者の場合は、ネットワーク セキュリティまたは Web セキュリティ/侵入テストから始めることをお勧めします。第一に、市場の需要が高く、第二に、比較的成熟していて簡単に始めることができます。
ネットワーク セキュリティを学習する場合は、最初にネットワークを学習してからセキュリティを学習する必要があり、Web セキュリティを学習する場合は、まず Web を学習してからセキュリティを学習する必要があることに注意してください。
セキュリティは独立して存在するものではなく、他の技術をベースにした上位層のアプリケーション技術です。この基礎がなければ、机上の空論になりやすく、「何が起こっているのかはわかっているが、その理由はわからない」状態になりやすく、また、安全なキャリアパスを進むことも難しくなります。
もともとネットワークエンジニアリングの運用保守に携わっていた場合は、ネットワークセキュリティ方面からスタートすることを選択できますが、
もともとプログラム開発に従事していた場合は、Webセキュリティ/ペネトレーションテスト方面からスタートすることをお勧めします。
もちろん、ある程度学習したり、一定の実務経験を積んだりすると、さまざまな方向のテクノロジーの結合がますます高くなり、それぞれの方向について少しずつ知る必要があります。
上記のネットワーク セキュリティ スキル リストによれば、ネットワーク セキュリティにさらす必要があるテクノロジがはるかに多く存在することが簡単にわかります。
学ぶべき一般的なスキル:
| 周辺得点力 | 釣りリモコン機能 |
| ドメイン侵入能力 | トラフィック分析機能 |
| 脆弱性マイニング機能 | コード監査機能 |
[セキュリティ学習を 1 つずつ、すべてのリソースを 1 つずつ支援]
①ネットワーク セキュリティ学習ルート
②ペネトレーション テストの電子書籍 20
冊 ③セキュリティの攻撃と防御 357 ページのノート
④セキュリティの攻撃と防御のインタビュー ガイド 50冊
⑤セキュリティ レッド チームのペネトレーション ツール キット
⑥ネットワーク セキュリティの必須書籍
⑦ 100 件の脆弱性実践事例
⑧ 大手セキュリティ企業の社内ビデオリソース
⑨ CTF キャプチャ ザ フラッグ コンテストの過去質問の分析
[1 - コメント エリアにメッセージを残して、1 つずつ教えてください]
3. ネットワークセキュリティに関する知識はたくさんありますが、それを科学的かつ合理的に整理するにはどうすればよいでしょうか?
1. 基本ステージ
中華人民共和国サイバーセキュリティ法 (18 のナレッジ ポイントを含む)
Linux オペレーティング システム (16 のナレッジ ポイントを含む)
コンピュータ ネットワーク (12 のナレッジ ポイントを含む)
SHELL (14 のナレッジ ポイントを含む)
HTML/CSS (44 のナレッジ ポイントを含む)
JavaScript (含む41 ナレッジ ポイント)
PHP 入門 (12 ナレッジ ポイントを含む)
MySQL データベース (30 ナレッジ ポイントを含む)
Python (18 ナレッジ ポイントを含む)
始めるための最初のステップは、コンピューターの基本的な知識を体系的に学習することです。つまり、次の基本的な知識モジュールを学習します。
オペレーティング システム、プロトコル/ネットワーク、データベース、開発言語、および一般的な脆弱性の原則。
これまでの基礎知識を学んだ後は実践です。
インターネットの普及や情報化により、Webサイトシステムは外部業務が多く、プログラマーのレベルや運用保守要員の構成も様々で、習得すべき内容が多くなっています。
2. 浸透段階
SQL インジェクションの侵入と防御 (36 のナレッジ ポイントを含む)
XSS 関連の侵入と防御 (12 のナレッジ ポイントを含む)
アップロード検証の侵入と防御 (16 のナレッジ ポイントを含む)
ファイルの侵入と防御 (12 のナレッジ ポイントを含む)
CSRF の侵入と防御 (7 つのナレッジ ポイントを含む) SSRFの
侵入と防御 (6 つのナレッジ ポイントを含む)
XXE の侵入と防御 (5 つのナレッジ ポイントを含む)
リモート コード実行の侵入と防御 (7 つのナレッジ ポイントを含む)
一般的な脆弱性の原則、使用法、防御方法をマスターします。Web の普及段階でも、いくつかの必要なツールを習得する必要があります。
マスターすべき主なツールとプラットフォーム: burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、プロキシ ツール ssrs、hydra、medusa、airspoof など。上記のツールは、上記のオープンソース射撃場を使用して練習できます。もう十分です。
3. 安全管理(改善)
ペネトレーションレポート作成 (21 ナレッジポイントを含む)
レベル保護 2.0 (50 ナレッジポイントを含む)
緊急対応 (5 ナレッジポイントを含む)
コード監査 (8 ナレッジポイントを含む)
リスク評価 (11 ナレッジポイントを含む)
セキュリティ検査 (12 ナレッジポイントを含む)
データ セキュリティ (25 のナレッジ ポイントを含む)
主にペネトレーションレポートの作成、ネットワークセキュリティレベルの保護等級付け、緊急対応、コード監査、リスク評価、セキュリティ検査、データセキュリティ、法令の編纂などが含まれます。
このステージは主に、すでにネットワークセキュリティ関連の業務に従事しており、管理職への昇進が必要な方を対象としています。エンジニアの職に就くために勉強しているだけの場合は、この段階で勉強してもしなくても構いません。
4. アップグレード段階(アップグレード)
暗号化 (34 のナレッジ ポイントを含む)
JavaSE 入門 (92 のナレッジ ポイントを含む)
C 言語 (140 のナレッジ ポイントを含む)
C++ 言語 (181 のナレッジ ポイントを含む)
Windows Reverse (46 のナレッジ ポイントを含む)
CTF Capture the Flag Competition ( 36 のナレッジ ポイントを含む) )
Android リバース エンジニアリング (40 のナレッジ ポイントを含む)
主に暗号化、JavaSE、C言語、C++、Windowsリバースエンジニアリング、CTFキャプチャーザフラッグコンペティション、Androidリバースエンジニアリングなどが含まれます。
主に、すでにネットワーク セキュリティ関連の業務に従事しており、高度なセキュリティ アーキテクチャの知識を向上させる必要がある人を対象としています。
4. ネットワークセキュリティ学習ルート
本当に独学で Web セキュリティを始めたい場合は、各知識ポイントを学習するのにかかる時間とその学習方法が詳しく記載されている次の学習ロードマップを参照することをお勧めします。半年、個人的なテストでは効果的です(記事の最後に驚きがあります)):
1. Web セキュリティ関連の概念 (2 週間)
基本的な概念 (SQL インジェクション、アップロード、XSS、CSRF、一文のトロイの木馬など) に精通している。
キーワード (SQL インジェクション、アップロード、XSS、CSRF、一文のトロイの木馬など) による Google/SecWiki を参照し、 「Mastering Script Hackers」 を
読んでください (非常に古くてエラーがありますが、それでも始めることは可能です)。
理解するための侵入メモ/ビデオ 実際の侵入のプロセス全体については、Google で調べることができます (侵入メモ、侵入プロセス、侵入プロセスなど)。
2. 侵入関連ツールに精通する (3 週間)
AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan およびその他の関連ツールの使用に精通している。
このタイプのツールの目的と使用シナリオを理解するには、まず Google/SecWiki というソフトウェア名を使用し、
これらのソフトウェアのバックドアなしバージョンをダウンロードしてインストールし、
学習して使用します。特定の教材は SecWiki で検索できます。 as: Brup のチュートリアル、sqlmap;
wait for これらの一般的に使用されるソフトウェアは、Sonic Startup をインストールして侵入ツールボックスを作成する方法を学習しました。
3. 浸透実運用(5週間)
侵入の全フェーズをマスターし、小さなサイトに独立して侵入できるようになります。
オンラインで侵入ビデオを検索し、アイデアと原則、キーワード (侵入、SQL インジェクション ビデオ、ファイル アップロード侵入、データベース バックアップ、dedecms 脆弱性悪用など) について考えます。独自のサイトを見つけて、テスト用のテスト環境を構築します。非表示にすることを忘れないでください。
自分らしく、
侵入の主な段階と、次のような各段階でどのような作業を行う必要があるかを考えてください: PTES 侵入テストの実行標準、
SQL インジェクションの種類、インジェクションの原則、および手動インジェクション手法を学習し
、ファイルアップロードの原則、切り捨ての実行方法、二重サフィックスのスプーフィング (IIS、PHP)、脆弱性悪用の解析 (IIS、Nignix、Apache) などについては、「アップロード攻撃フレームワーク」、「
XSS 形成の原理と種類の検討」、「具体的な」を参照してください。学習方法については、Google/SecWiki を参照してください: XSS ;
Windows/Linux 特権昇格の方法と具体的な使用法を研究するには、次を参照してください: 特権昇格; 参照できます: オープンソース侵入テスト脆弱性システム;
4. セーフティサークルのダイナミクスに注意を払う(1週間)
最新の脆弱性、セキュリティ インシデント、セキュリティ サークルの技術記事に注意してください。
SecWiki を通じて日々のセキュリティ テクノロジーの記事やイベントを閲覧する;
Weibo/Twitter を通じてセキュリティ サークルの実践者をフォローし (専門家や友人の注目を断固としてフォローしている場合は)、毎日時間をかけて読んでください; 国内および海外のセキュリティに関する購読を購読して
くださいfeedly/Xianguo Blog(国内に限定しないで、日常生活での蓄積にもっと注意を払ってください)を通じてテクノロジーを共有し、フィードがない場合は、SecWikiの集計欄をチェックして、習慣を身につけて積極的に投稿してください
。 SecWiki へのセキュリティ技術記事へのリンクを毎日蓄積し、
最新の脆弱性リストにさらに注意を払い、いくつかの脆弱性を推奨します:exploit-db、CVE 中国語ライブラリ、Wooyun など。公開されている脆弱性に遭遇した場合は、それらを実践してください。
国内外のセキュリティ関連カンファレンスのトピックやビデオに興味がある場合は、SecWiki-Conference をお勧めします。
5. Windows/Kali Linux に精通する (3 週間)
基本的な Windows/Kali Linux コマンドと一般的なツールを学習し、
Windows での一般的な cmd コマンド (ipconfig、nslookup、tracert、net、tasklist、taskkill など) に精通し、
Linux での一般的なコマンド (ifconfig など)に精通します。 、ls、cp、mv、vi、wget、service、sudo など;
Kali Linux システムでの一般的なツールに精通している場合は、SecWiki、「Kali Linux を使用した Web ペネトレーション テスト」、「Kali を使用したハッキング」を参照してください。 "など。metasploit
ツールに精通している場合は、SecWiki の「Metasploit」ペネトレーション テスト ガイドを参照してください。
6. サーバーセキュリティ設定(3週間)
サーバー環境の構成を学び、思考を通じて構成内のセキュリティ上の問題を発見できるようになります。
Windows 2003/2008 環境での IIS 構成については、セキュリティの構成と実行権限に特に注意してください。SecWiki-Configuration を参照してください。Linux 環境での LAMP セキュリティ構成については、主に実行権限、
クロスディレクトリ、フォルダ権限などを考慮してください。 SecWiki -構成、
リモート システムの強化、ユーザー名とパスワードのログインの制限、iptables によるポートの制限、
システム セキュリティを強化するためのソフトウェア Waf の構成、サーバー上の mod_security およびその他のシステムの構成については、SecWiki-ModSecurity を参照してください。
Nessus ソフトウェアを通じて構成環境のセキュリティ検査を実行し、未知のセキュリティの脅威を発見します。
7. スクリプトプログラミング学習(4週間)
Perl/Python/PHP/Go/Java のいずれかのスクリプト言語を選択し、共通ライブラリのプログラミングを学びます。
開発環境をセットアップし、IDE を選択します。PHP 環境には Wamp および XAMPP が推奨されます。IDE には Sublime が強く推奨されます。Sublime スキルの一部: SecWiki-Sublime、Python プログラミングの学習。学習内容には次のものが含まれます: 文法、規則性、ファイル、
ネットワーク、マルチスレッドおよびその他の一般的なライブラリ。「Python コア プログラミング」をお勧めします。すべてを読む必要はありません。Python を使用して
脆弱性エクスプロイトを作成し、その後、単純な Web クローラーを作成します。SecWiki-crawler のビデオを参照してください。
基本的な PHP 構文と簡単なブログ システムを作成します。「PHP および MySQL プログラミング (第 4 版)」のビデオを参照してください。MVC
アーキテクチャに慣れ、PHP フレームワークまたは Python フレームワーク (オプション) を学習してください。Bootstrap
のレイアウトまたは CSS を理解します。 SecWiki-Bootstrap を参照してください。
8. ソースコード監査と脆弱性分析(3週間)
スクリプトのソース コード プログラムを独自に分析し、セキュリティの問題を発見できます。
ソース コード監査の動的および静的手法に精通していること、プログラムの分析方法を知っていること (SecWiki-Audit を参照)、
Wooyun からオープン ソース プログラムの脆弱性を見つけて分析し、自分で分析してみること、
Web 脆弱性の原因を理解すること、および分析については、SecWiki-Code Audit、Advanced PHP Application Vulnerability Audit Technology を参照し、
Web 脆弱性の形成原理とそのような脆弱性をソース コード レベルで回避する方法を研究し、チェックリストにまとめます。
9. セキュリティシステムの設計・開発(5週間)
独自のセキュリティ システムを確立し、セキュリティに関する提案やシステム アーキテクチャを提案できるようになります。
いくつかの実用的なセキュリティ ガジェットを開発し、個人の強みを反映するようにオープンソース化する;
独自のセキュリティ システムを確立し、企業のセキュリティについて独自の理解と洞察を得る;
大規模なセキュリティ システムのアーキテクチャまたは開発を提案または参加する;
自分の開発を観察する~
やっと
知識のフレームワークを整理し、学習方法がわかったら、次のステップはそのフレームワークにコンテンツを埋め込むことです。
現時点では、CSDN、Zhihu、Bilibili など、多くの選択肢があります。多くの人が独自の学習教材を共有していますが、ここでの大きな問題は、一貫性と不完全さであると思います。無料で共有されているチュートリアルの一部はすべて断片的であり、字幕と合っていない序文があり、学習中に混乱してしまいます これは私が独学した後の個人的な経験です。
本当に自分で学びたい場合は、私がまとめて収集したこれらのチュートリアルを共有できます。これらのチュートリアルには、Web セキュリティだけでなく、ペネトレーション テストや、電子書籍、インタビューの質問、PDF ドキュメント、ビデオなどのその他のコンテンツも含まれていますメモ、私はすでにすべてを学習しました、「いいね!」をして、集めて、コメント欄「すでにフォローしています 」にメッセージを残してください。無料でみんなにシェアできるよ!待ちきれない友達は私をホームから直接蹴ることもできます!または、私をフォローすると、背景が自動的に全員に送信されます。フォロー後は裏ニュースにもご注目ください!
友人たちへのアドバイスは、明確に考えることです。ネットワーク セキュリティを独学するのに近道はありません。それに比べて、体系的なネットワーク セキュリティは、時間とエネルギー コストを大幅に節約できるため、最もコスト効率の高い方法です。待ってください、この道を歩んできた以上、たとえ将来が困難に見えても、歯を食いしばって耐え続ければ、いつかは望む結果が得られます。
ネットワーク セキュリティの学習教材とチュートリアル。以下に従うと自動的に送信されます
2. ハッキングツール&SRC技術文書&PDF書籍&Webセキュリティ等(共有可能)
おすすめの本リスト
コンピューターのオペレーティング システム:
【1】コーディング:コンピュータのソフトウェアやハードウェアの背後に隠された言語
【2】OSについての深い理解
【3】Windowsオペレーティングシステムについての深い理解
【4】Linuxカーネルと実装
プログラミング開発カテゴリー:
【1】Windowsプログラミング
【2】windwos core になります
【3】Linuxプログラミング
【4】UNIX環境の高度な変革
【5】iOSはこうなります
【6】コードの1行目 Android
【7】C言語設計
【8】Cプライマープラス
【9】Cとポインタ
【10】Cエキスパートプログラミング
【11】C 罠と欠陥
【12】アセンブリ言語(王双)
【13】Javaコア技術
【14】Javaプログラミングのアイデア
【15】Pythonコアプログラミング
【16】Linuxshellスクリプト戦略
【17】アルゴリズム入門
【18】コンパイル原理
【19】コンパイル・逆コンパイル技術の実戦
【20】コードをきれいにする方法
【21】コード事典
【22】TCP/IPの詳しい説明
【23】ルートキット: システムのグレーゾーンに潜む者
【24】ハッカーの攻撃と防御技術ガイド
【25】暗号化と復号化
【26】C++の逆アセンブル・逆解析技術を公開
【27】Webセキュリティテスト
【28】ホワイトハットが語るWebセキュリティ
【29】スクリプトハッキングに堪能
【30】Webフロントエンドのハッキング技術が明らかに
【31】プログラマ向けアプリケーション
【32】英語ライティングハンドブック: スタイルの要素
特別な声明:
このチュートリアルは純粋に技術的な共有です。このチュートリアルは、悪意のある人に技術サポートを提供することを目的としたものではありません。また、テクノロジーの悪用から生じる連帯責任も負いません。このチュートリアルの目的は、全員がネットワーク セキュリティに最大限の注意を払い、それに対応するセキュリティ対策を講じることにより、ネットワーク セキュリティによって引き起こされる経済的損失を軽減することです。