まず、ネットワーク セキュリティについて学習するときに通常どのような問題が発生するかについて話しましょう。
1. 基礎を築くのに時間がかかりすぎる
基本を学ぶには長い時間がかかり、言語も複数ありますが、Linux のシステムとコマンドの学習に陥る人もいれば、言語の学習に陥る人もいます。
2. 知識ポイントの把握が不明確
ネットワーク セキュリティの基本的な内容については、どれだけ学べばよいのかわからず、すべてを鵜呑みにしてしまい、その結果、基本的な内容に時間がかかりすぎてしまう人が多く、HTML、PHP、データベース、コンピューターネットワークなど、どれも今でも非常に役に立ちます。分厚く、非常に詳細な記述が多いです。学べば学ぶほど自信がなくなっていくことがわかります。他の人はただ仕事を見つけることができますPHP やデータベースを学ぶことによって考えられますが、ネットワーク セキュリティについて学ぶべきことはたくさんあり、間違った方向を選択したのではないかとますます疑念が生じています。
3. 知識の要点が区別できない
多くの人が基本的な内容を学ぶのに多大な労力を費やしましたが、多くの知識はその後のネットワーク セキュリティに密接に関連していないことがわかり、重要なポイントを区別できずに多くの時間を無駄にしていました。
4. 知識ポイントの学習が体系的ではない
多くの友人がステーション b でたくさんのビデオを探しているのを見ましたし、他のプラットフォームで小さなレッスンを購入したりもしました。Baidu Cloud Disk には 1 ~ 2T の学習教材とビデオ コンテンツもありますが、これには多額の費用がかかります各カテゴリを完了します。時間がかかり、内容の多くは繰り返しです。SQL インジェクションを学習した後、後で別の企業が SQL インジェクションについて話しているのを見ました。悪くありませんでした。もう一度勉強します。その後、 Web の脆弱性の原則をすべて学習しましたが、自分自身についてはまだよくわかりません。Web の脆弱性について何も学習していませんか?
5. 一人で問題を解決するのは難しい
初心者の場合、射撃場を自分で構築する人も多いですが、設定環境などの理由で時間がかかり、特に初心者は3回連続で解けない問題に遭遇すると諦めてしまいがちです。実践能力が低い人たち クラスメート、これは勉強を続ける自信に直接影響するかもしれません。
6. 実践レベルが不十分
ネットワーク セキュリティとペネトレーション テストのテクノロジを学ぶ人にとって、実際には、かなりの部分が「ハッキング」テクノロジを学ぶことになります。攻撃と侵入の方法を学ぶことで、システムとアプリケーションを防御する方法をより深く理解できるようになります。まさにネットワーク セキュリティの分野です。本質的には理論だけで実務経験が少ないと就職は難しいですが、日々の勉強に加え、練習用にオープンソースの射撃場をいくつか構築することで、もちろん、SRC プラットフォームにアクセスして実際の Web サイトに侵入テストすることもできます (実際の Web サイトへの侵入を許可する必要があります)。自信を失い、自分自身を疑ってしまいます。
7. イントラネットを学ぶのは難しい
Web の普及に関する情報はインターネット上に溢れており、比較的簡単に学ぶことができますが、インターネット上のイントラネットに関する情報は比較的少なく、参考になる情報があまりありません。対応する射撃練習場があり、技術の向上と蓄積があり、学習難易度は比較的高いです。
問題を理解し、自分の特性に基づいて学習の方向を調整すれば、半分の労力で 2 倍の成果が得られます。以下は、さまざまな学習グループに適した 2 つの学習ルートです。
方法 1: 最初にプログラミングを学び、次に Web の普及やツールの使い方などを学びます。
対象者:一定のコーディング基礎を持った友人
(1) 基本部分
基本的な部分では、次のことを学習する必要があります。
(1.1) コンピュータネットワーク:
OSI、TCP/IP モデル、ネットワーク プロトコル、ネットワーク機器の動作原理などの学習に重点を置き、他の内容を素早く読み進めます。
(1.2) Linux システムとコマンド:
現在市場に出回っている Web サーバーはすべて Linux システム上で実行されているため、Web システムに侵入する方法を学びたい場合は、少なくとも Linux システムに精通し、一般的な操作コマンドを学習する必要があります。
**学習のヒント: **業務シナリオの 90% に適用できる一般的なコマンドの 10% を学習します。オフィス ソフトウェアと同様に、よく使用される機能の 10% をマスターします。日常の基本的な使用には問題ありません。わからないものに遭遇した場合は、Du Niang を見つけてください。一般的な Linux コマンドは 50 ~ 60 個しかありません。初心者の多くは、ためらうことなくすべてのコマンドを学習しますが、覚えられないことに気づきます。!!!この学習方法も間違っています。
(1.3) Web フレームワーク:
Web フレームワークの内容に精通しており、フロントエンドの HTML、JS などのスクリプト言語で十分です。バックエンドの PHP 言語の学習に重点を置きます。開発のアイデアに従って言語を学習するのではなく、PHP の最低限の要件となります。 「重要なのは、コードを読めることです。もちろん、最高のものを書くことはできます。しかし、それは開発ではありません。でも、開発ではありません。しかし、それは開発ではありません。重要なことは 3 回言います。重要なことは 3 回言います。」
(1.4) データベース:
SQL 構文を学習し、共通データベース MySQL を使用して対応するデータベース構文を学習する必要があります。これも同様です。SQL の高度な構文を理解することはできます。時間がなくても、その後の学習には影響しません。結局のところ、あなたはデータベース アナリストではないので、あまり深く勉強する必要はありません。
(2) Webセキュリティ
(2.1) Web [浸透]
OWASP によってトップにランク付けされた 10 を超える一般的な Web 脆弱性の原理、利用法、防御、その他の知識ポイントをマスターし、特定の射撃場で練習します。初心者の中には情報をどこで見つけられるのか尋ねる場合があります。情報を直接購入することをお勧めします。本を読み、ステーション b の無料ビデオ システムで学習し、オープンソースの射撃場を使用して練習を支援します。
【推奨射撃場】 一般的な射撃場はgithubで検索できます 推奨射撃場:DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachuなど 総合射撃場もございます、特定の脆弱性を特にターゲットにしたものもあります。
(2.2) ツールの学習
Web [浸透] 段階でも、必要なツールをいくつかマスターする必要があります。サイト b には、ツールを学ぶためのビデオがたくさんあります。説明がわかりやすいビデオをいくつか選んで視聴してください。1 つのツールで多数のビデオを視聴しないでください。ほとんどのツールは、動画は繰り返しなので時間の無駄です。
マスターすべき主なツールとプラットフォーム: burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、プロキシ ツール ssrs、hydra、medusa、airspoof など。上記のツールは、上記のオープンソース射撃場を使用して練習できます。それで十分です。
実践はほぼ完了しました。SRC プラットフォームにアクセスして実際のサイトに侵入し、ブレークスルーがあるかどうかを確認できます。WAF をバイパスする必要がある場合は、特に WAF のバイパスについて学習する必要があります。姿勢はそれほど多くありません。体系的に学習してからさらに要約し、経験を積むことで次のレベルに進みます。
(2.2) 自動侵入
自動侵入には、言語を習得し、それを熟達する必要があります。すでに使い慣れている言語ならどれでも構いません。どの言語も使いこなせない場合は、Python を学ぶことをお勧めします。主な理由は、それを学ぶことです。使いやすく、多くのモジュールがあり、スクリプトやツールを作成するのに非常に便利です。
なんてこった?もう一度プログラミングを学ばなければなりません。先ほど、ネットワーク セキュリティを学ぶのにプログラミングは必須条件ではないと言いましたよね? 自動化の浸透を知らないことは、就職や就職には影響しませんが、キャリア開発には影響します。Python の学習には多くのことを習得する必要はありません不要なモジュールや数千行のコードを開発する必要はありません。数行のコードから 1 ~ 200 行のコードまでのツールやスクリプトを記述するために使用するだけです。一般に、コードの量は従来のコードに比べて非常に少なくなります。たとえば、ドメイン名クローラー コードのコア コードは、わずか 1 ~ 20 行に合理化されています。
不安を感じている友達もいるかもしれませんが、どうやって学ぶ必要があるのでしょうか。
Python の構文を学習するには数日かかりますが、コーディングの基礎知識があれば、言語はどれも似ているため、早ければ 1 日で学習を終えることができると思いますが、言語を学ぶ最も早い方法は、コードを書くことです。それ以外に方法はありません。他の方法。その後、クローラ、ポート検出、パケット コア コンテンツ抽出、イントラネット アクティブ ホスト スキャンなどの一般的なツールの作成を試みることができます。オンラインにはそのようなコードがたくさんあります。その後、いくつかの POC と EXP を作成します。スクリプトの場合は、練習として射撃場を使用してください。POC と EXP とは何なのか、もう一度尋ねたい友達もいるかもしれません。自分で作成して、それを行う良い習慣。
(2.3) コード監査
なんてこった?もう一度コードを見てみましょう。ここでの内容は比較的高いコーディング能力を必要とするため、コーディング能力が弱い場合は、最初に学習のこの部分をスキップしても、浸透への道における学習と開発には影響しません。
しかし、Web の普及をさらに進めたい場合は、バックエンド開発言語に習熟している必要があります。Web サイトの大部分はバックエンドで PHP を使用して開発されているため、PHP をお勧めします。もちろん、Python、ASP、 Java およびその他の言語については、おめでとうございます。すでに十分な基礎ができています。
コード監査は、その名前が示すように、他人の Web サイトやシステムのソース コードを監査し、ソース コードやコード環境を監査することでシステムに脆弱性があるかどうかを監査します (ホワイト ボックス テストのカテゴリに属します)。
では、具体的にはどうやって学ぶのでしょうか?具体的な研究内容を順に列挙すると以下のとおりである。
PHP のいくつかの危険な機能とセキュリティ構成をマスターします。
コード監査のプロセスと方法に精通している。
seay などの 1 ~ 2 つのコード監査ツールをマスターします。
一般的な機能監査方法をマスターします (自信を得るために AuditDemo を監査することをお勧めします)。
一般的な CMS フレームワークの監査 (困難)。
【おすすめ書籍】 Code Auditには洋書「Code Audit: Enterprise-level Web Code Security Architecture」があります。もちろん時間があるときに読んでみてください。サイトbでシステム紹介コースを見つけて学ぶことをお勧めします。 ; github Find AuditDemo on the Internet, download thesource code, build it in a local virtual machine, and then use tools and Audit Methods to Audit the 10 vulnerabilities in AuditDemo. 難易度分布は正規分布に準拠しているため、挑戦することができます。 ;
CMS フレームワークの監査については、いくつかの公式 CMS Web サイトにアクセスし、過去の脆弱性を含むいくつかのバージョンをダウンロードして監査することができます。フレームワークについて学ぶには、公式 Web サイトのマニュアルを使用できます。たとえば、ThinkPHP3.2 バージョンにはいくつかの脆弱性があります。したがって、コードを理解しようと努めることはできますが、CMS フレームワークのコード量は比較的多いため、使い始めてすぐにコードを読まないように注意してください。最初にフレームワークを体系的に学習しないと、基本的にはフレームワークを学習した後は、簡単な POC を作成し、コード監査の方法とツールとともに監査できるようになります。フレームワークは、実際には、思っているほど難しくありません。キャリアを変更した開発者、おめでとうございます。あなたはすでにコード監査の生来の利点を持っています。
すると、何人かの友人が、「私のコードは非常に貧弱です。コード監査を学ばないことはできますか? コード監査は、ネットワーク セキュリティを学ぶのに必須の条件ではありません。マスターすることが最善です。マスターできなくても、その後の学習には影響しません」と尋ねました。勉強や就職が必要ですが、Web 侵入、イントラネット侵入、自動侵入など、より専門的かつ熟練するための段階と実践を選択する必要があります。
(3) イントラネットのセキュリティ
おめでとうございます。これを学習した場合は、基本的に、ペネトレーション テスト、Web ペネトレーション、セキュリティ サービス、セキュリティ分析などのネットワーク セキュリティ関連の仕事に就くことができます。
雇用の機会を広げ、技術的な競争を強化したい場合は、イントラネットの普及についてさらに学ぶ必要があります。
イントラネットの知識は少し難しく、現在市販されている学習教材や射撃場に関連しています。イントラネット学習の主な内容には、主にイントラネット情報の収集、ドメイン侵入、プロキシと転送技術、アプリケーションとシステム権限の昇格が含まれます。 、ツール学習、ウイルス対策技術、APT など。
私に専門用語を使わないでください、バーバーバー!具体的にどうやって学ぶの?
【おすすめの本】この質問はちょっと大きいです、えっ、えっ、えっ!「イントラネット セキュリティの攻撃と防御: ペネトレーション テストの実践ガイド」を読むことができます。この本は非常によく書かれており、イントラネットに関する数少ない国内書籍の 1 つです。書籍カタログを主軸として、ツールや射撃の練習を行っています。範囲;
小さな友達はもう一度尋ねたいのですが、どこからイントラネット射撃場にダウンロードできますか? これは私を困惑させます。十分な能力があり、高度なコンピューター構成を持っている場合は、仮想マシンを使用して自分でイントラネット環境を構築できます。通常、仮想マシンは 3 つ以上必要です。また、海外のイントラネット射撃場に行って、イントラネット環境を構築することもできます。射撃場は大丈夫です。
(4) 浸透と拡大
浸透・拡大部分も具体的な職種と密接な関係があるので、可能な限りマスターしましょう 主にログ分析、セキュリティ強化、緊急時対応、等級保証評価などの内容が含まれます その中でも、最初の 3 つの部分は、インターネット上にこの領域に関する情報があまりなく、確立された書籍や資料も多くありません。業界関連の技術団体や業界が共有する資料で学ぶしかありません。これを学ぶことができれば、ログ分析、セキュリティ強化、緊急時対応の 3 つの部分を学習することができ、知識は比較的簡単です。
方法 2: 最初に Web の普及とツールを学び、次にプログラミングを学ぶ
ネットワーク セキュリティ テクノロジーを系統的に学ぶ必要がある場合は、私にプライベート メッセージを送って「ネットワーク セキュリティ」と返信してください。最新の技術内容を無料で学習できます
対象者:コーディング能力が非常に弱い、またはコーディング能力がまったくなく、その他の基本的なスキルも比較的低い友人
友人の中には、十分な基礎がないのに、どうやって Web の浸透を学ぶことができるのかと尋ねる人もいるでしょう。
Linux システム、コンピュータ ネットワーク、少しの Web フレームワーク、データベースなど、基本的な部分はまだ学習する必要があり、事前に習得する必要があります。
PHP 言語、自動ペネトレーション、コード監査などのコンテンツを最後に配置することができ、以前の知識を学習した後、言語を再度学習することは比較的容易です。
[推奨事項]方法 2. 初心者の場合、コーディングの基礎が弱いことが多く、多くの初心者は初期段階で言語学習に陥るため、方法 2. まずは Web の浸透とツールを学ぶことをお勧めします。より面白く、より簡単に 高い学習意欲と熱意を維持する 具体的な学習内容については割愛しますが、方法 1 を参照してください。
最後に
編集者は、誰もがネットワーク セキュリティをよりよく学ぶことができるように、誰でも理解できるネットワーク セキュリティの入門/上級学習教材を用意しました。内容はすべて、基礎知識ゼロの初心者に適したメモと教材です。プログラミングはわかりません。すべての情報は合計 282G です。友人がネットワーク セキュリティ入門 + 高度な学習リソース パッケージの完全なセットを必要としている場合は、クリックして無料で受け取ることができます (QR コードのスキャンで問題が発生した場合)コメント欄にメッセージを残して受信してください)~
CSDNギフトパッケージ:「ネットワークセキュリティ入門&上級学習リソースパッケージ」無料共有
CSDNギフトパッケージ:「ネットワークセキュリティ入門&上級学習リソースパッケージ」無料共有
ビデオサポート資料と国内外のネットワークセキュリティ書籍とドキュメント
CSDN ギフト パッケージ: 「ネットワーク セキュリティ入門 & 高度な学習リソース パッケージ」は無料で共有するか、
下の QR コードをスキャンして入手できます。コードのスキャンに問題がある場合は、メッセージを残してください~
