ネットワーク セキュリティ (ハッカー) - 自習 (すべての知識ポイント)

 序文

1. ネットワークセキュリティとは何ですか?

ネットワークセキュリティは攻撃と防御の観点から分類でき、よく聞く「レッドチーム」や「ペネトレーションテスト」は攻撃手法を研究し、「ブルーチーム」「セキュリティ運用」「セキュリティ運用保守」は防御を研究します。 。 テクノロジー。

    ネットワーク、Web、モバイル、デスクトップ、クラウドなどどの分野においても攻撃と防御の両面が存在し、例えばWebセキュリティ技術にはWebペネトレーション技術とWeb防御技術(WAF)の両方が含まれます。資格のあるネットワーク セキュリティ エンジニアとして、攻撃と防御の両方を行う必要があります。結局のところ、自分自身と敵を知ることによってのみ、すべての戦いで勝利することができます。

2. ネットワークセキュリティを計画する方法

セキュリティ業界に慣れていない場合は、ネットワーク セキュリティまたは Web セキュリティ/侵入テストから始めることをお勧めします。

1. 市場の需要が高い

第二に、開発は比較的成熟しており、開始するのが簡単です。

ネットワーク セキュリティを学習する場合は、まずネットワークを学習してからセキュリティを学習する必要があり、Web セキュリティを学習する場合は、まず Web を学習してからセキュリティを学習する必要があることに注意してください。

セキュリティは独立して存在するものではなく、他の技術をベースにした上位層のアプリケーション技術です。この基礎がなければ、机上の空論になりやすく、「何が起こっているのかはわかっているが、その理由はわからない」状態になりやすく、また、安全なキャリアパスを進むことも難しくなります。

もともとネットワーク エンジニアリングの運用と保守に従事している場合は、ネットワーク セキュリティの方向から始めることを選択できます。
もともとプログラム開発に従事している場合は、ネットワーク セキュリティの分野から始めることをお勧めします。をクリックして、Web セキュリティ/侵入テストの方向を選択して開始します。
もちろん、ある程度学習したり、ある程度の実務経験を積んだりすると、さまざまな方向のテクノロジーの結合がますます高くなり、少しは知っておく必要があります。それぞれの方向について。

上記のネットワーク セキュリティ スキル リストによれば、ネットワーク セキュリティにさらす必要があるテクノロジがはるかに多く存在することが簡単にわかります。

学ぶべき一般的なスキル:

3. ネットワークセキュリティに関する知識はたくさんありますが、それを科学的かつ合理的に整理するにはどうすればよいでしょうか？

1. 基本ステージ

• 中華人民共和国サイバーセキュリティ法 (18 の知識ポイントを含む)
•  Linux オペレーティング システム (16 のナレッジ ポイントを含む)
•  コンピュータネットワーク (12 の知識ポイントを含む)
•  SHELL (14 のナレッジ ポイントを含む)
•  HTML/CSS（44のナレッジポイントを含む）
•  JavaScript (41 のナレッジポイントを含む)
•  PHP 入門 (12 の知識ポイントを含む)
•  MySQL データベース (30 のナレッジ ポイントを含む)
•  Python (18 のナレッジポイントを含む)

始めるための最初のステップは、コンピューターの基本知識を体系的に学習することです。つまり、オペレーティング システム、プロトコル/ネットワーク、データベース、開発言語、一般的な脆弱性の原則などの基本知識モジュールを学習します。

    これまでの基礎知識を学んだ後は実践です。

    インターネットの普及や情報化により、Webサイトシステムは外部業務が多く、プログラマーのレベルや運用保守要員の構成も様々で、習得すべき内容も増えています。

2. 浸透段階

•  SQL インジェクションの侵入と防御 (36 のナレッジ ポイントを含む)
•  XSS 関連の侵入と防御 (12 のナレッジ ポイントを含む)
•  アップロード検証の侵入と防御 (16 のナレッジ ポイントを含む)
•  この文書には侵入と防御が含まれています (12 の知識ポイントを含む)
•  CSRF の侵入と防御 (7 つの知識ポイントを含む)
•  SSRF の侵入と防御 (6 つの知識ポイントを含む)
•  XXE の貫通と防御 (5 つの知識ポイントを含む)
•  リモートコード実行の侵入と防御 (7 つのナレッジポイントを含む)

一般的な脆弱性の原則、使用法、防御方法をマスターします。 Web の普及段階でも、いくつかの必要なツールを習得する必要があります。

    マスターすべき主なツールとプラットフォーム:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、プロキシ ツール ssrs、hydra、medusa、airspoof など。上記のオープンソース射撃場を使用して上記のツールを練習するだけで十分です。

3. 安全管理（改善）

•  侵入レポートの作成 (21 のナレッジ ポイントを含む)
•  レベル保護 2.0 (50 のナレッジ ポイントを含む)
•  緊急時対応（5つの知識を含む）
•  コード監査 (8 つのナレッジ ポイントを含む)
•  リスクアセスメント（11の知識ポイントを含む）
•  安全点検（12の知識を含む）
•  データセキュリティ (25 のナレッジポイントを含む)

主にペネトレーションレポートの作成、ネットワークセキュリティレベルの保護等級付け、緊急対応、コード監査、リスク評価、セキュリティ検査、データセキュリティ、法令の編纂などが含まれます。

このステージは主に、すでにネットワークセキュリティ関連の業務に従事しており、管理職への昇進が必要な方を対象としています。エンジニアの職に就くために勉強しているだけの場合は、この段階で勉強してもしなくても構いません。

4. アップグレード段階（アップグレード）

•  未確認動物学 (34 の知識ポイントを含む)
•  JavaSE 入門 (92 のナレッジポイントを含む)
•  C言語（140のナレッジポイントを含む）
•  C++ 言語 (181 の知識ポイントを含む)
•  Windows リバース エンジニアリング (46 のナレッジ ポイントを含む)
•  CTF キャプチャー・ザ・フラッグ・コンペティション (36 の知識ポイントを含む)
•  Android リバース エンジニアリング (40 のナレッジ ポイントを含む)

主に暗号化、JavaSE、C言語、C++、Windowsリバースエンジニアリング、CTFキャプチャーザフラッグコンペティション、Androidリバースエンジニアリングなどが含まれます。

主に、すでにネットワーク セキュリティ関連の業務に従事しており、高度なセキュリティ アーキテクチャの知識を向上させる必要がある人を対象としています。

4. ネットワークセキュリティ学習ルート

本当に独学で Web セキュリティを始めたい場合は、各知識ポイントを学習するのにかかる時間とその学習方法が詳しく記載されている次の学習ロードマップを参照することをお勧めします。半年、個人的なテストでは効果的です（記事の最後に驚きがあります））：

1. Web セキュリティ関連の概念 (2 週間)

 基本的な概念 (SQL インジェクション、アップロード、XSS、CSRF、一文のトロイの木馬など) を理解します。
 キーワードによる Google/SecWiki (SQL インジェクション、アップロード、XSS、CSRF、一文のトロイの木馬など);
 「スクリプト ハッカーのマスター」を読んでください。古いものには間違いがありますが、それでも始めることができます。
 実際の侵入のプロセス全体を理解するには、いくつかの侵入ノート/ビデオをご覧ください。Google (侵入ノート、侵入) をご覧ください。プロセス、侵入プロセスなど);

2. 侵入関連ツールに精通する (3 週間)

 AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan およびその他の関連ツールの使用に慣れてください。
 このタイプのツールの目的と使用シナリオを理解するには、まずソフトウェア名 Google/SecWiki を使用します。
 これらのソフトウェアのバックドアなしバージョンをダウンロードし、インストールします。
 学習して使用します。Brup のチュートリアルや sqlmap など、特定の教材は SecWiki で検索できます。
 これらの一般的に使用されるソフトウェアを学習したら、Sonic Startup. 侵入ツールボックスをインストールできます。

3. 浸透実運用（5週間）

侵入のすべての段階をマスターし、小規模なサイトに独立して侵入できるようになります。
 オンラインで侵入ビデオを探し、アイデアと原則、キーワード (侵入、SQL インジェクション ビデオ、ファイル アップロード侵入、データベース バックアップ、dedecms 脆弱性悪用など) について考えます。< a i=2> 独自のサイトを見つけるか、テスト用のテスト環境を構築します。自分自身を隠すことを忘れないでください。  いくつかの段階への浸透と、各段階で実行する必要がある作業について考えてください。 this : PTES ペネトレーション テストの実行標準。  SQL インジェクションの種類、インジェクション原理、および手動インジェクション手法を学習します。  ファイル アップロードの原理とその方法を学習します。切り捨ておよび二重サフィックス スプーフィング (IIS、PHP)、脆弱性悪用の解析 (IIS、Nignix、Apache) などについては、「アップロード攻撃フレームワーク」を参照してください。  XSS 形成の原理と種類を学習します。具体的な学習方法は Google/SecWiki を参照してください:

4. セーフティサークルのダイナミクスに注意を払う（1週間）

 最新の脆弱性、セキュリティ インシデント、セキュリティ サークルの技術記事に注意してください。
 SecWiki を通じて日々のセキュリティ テクノロジーの記事やイベントを閲覧する;
 Weibo/twitter を通じてセキュリティ サークルの実践者をフォローする (専門家や決定的な友人の注目を集める) フォロー) 、時間をかけて毎日読んでください。
 feedly/Xianguo を通じて国内外のセキュリティ技術ブログを購読してください (国内に限定されず、日常生活での蓄積にもっと注意を払ってください)。購読ソースがない場合は、SecWiki の集計コラムをチェックしてください。
 習慣を身につけ、セキュリティ テクノロジー記事へのリンクを毎日 SecWiki に積極的に送信して蓄積してください。
 最新の脆弱性リストに注意してください。exploit-db、CVE 中国語ライブラリ、Wooyun などのいくつかが推奨されています。公開されている脆弱性に遭遇した場合は、それを実践してください。
 国内外のセキュリティ会議のトピックやビデオに興味がある場合は、SecWiki-Conference をお勧めします。

5. Windows/Kali Linux に精通する (3 週間)

 基本的な Windows/Kali Linux コマンドと一般的なツールを学習します。
 Windows での一般的な cmd コマンド (ipconfig、nslookup、tracert、net、tasklist、taskkill など) に精通します。 .;
 ifconfig、ls、cp、mv、vi、wget、service、sudo など、Linux での一般的なコマンドに精通している;
 精通しているKali Linux システムでの一般的なコマンドを使用する ツールについては、SecWiki、「Kali Linux を使用した Web ペネトレーション テスト」、「Kali を使用したハッキン​​グ」などを参照できます。
 Metasploit ツールに精通している場合SecWiki の「Metasploit ペネトレーション テスト ガイド」を参照してください。

6. サーバーセキュリティ設定（3週間）

 サーバー環境の構成を学び、思考を通じて構成内のセキュリティ上の問題を発見できるようになります。
 Windows 2003/2008 環境での IIS 設定では、設定のセキュリティと実行権限に特に注意してください。SecWiki-Configuration;
 LAMP のセキュリティ設定を参照してください。 Linux 環境では、主に実行権限、ディレクトリ間権限、フォルダ権限などを考慮して、SecWiki-Configuration;
 リモート システムの強化、ユーザー名とパスワードによるログインの制限、およびiptables によるポートの制限; < a i=4> ソフトウェア Waf を構成してシステム セキュリティを強化し、サーバー上で mod_security およびその他のシステムを構成します。SecWiki-ModSecurity を参照してください。  Nessus ソフトウェアを使用して実行します構成環境でのセキュリティ検出を実行し、未知のセキュリティ脅威を検出します。

7. スクリプトプログラミング学習（4週間）

 Perl/Python/PHP/Go/Java のいずれかのスクリプト言語を選択し、共通ライブラリのプログラミングを学びます。
 開発環境を構築し、IDE を選択します。PHP 環境には Wamp と XAMPP をお勧めします。IDE には Sublime を強くお勧めします。Sublime のヒント: SecWiki-Sublime;
 Python プログラミングの学習、学習内容には、文法、規則性、ファイル、ネットワーク、マルチスレッド、その他の一般的なライブラリが含まれます。「Python コア プログラミング」をお勧めします。すべてを読む必要はありません。
 Python を使用して脆弱性のエクスプロイトを作成し、簡単な Web クローラーについては、SecWiki クローラー、ビデオを参照してください。
 基本的な PHP 構文を学習し、簡単なブログ システムを作成するには、「PHP とMySQL プログラミング (第 4 版)」、ビデオ; a>
 MVC アーキテクチャに慣れ、PHP フレームワークまたは Python フレームワーク (オプション) を学習してみてください。
 Bootstrap のレイアウトまたは CSS を理解するには、SecWiki-Bootstrap;

8. ソースコード監査と脆弱性分析（3週間）

 は、スクリプト ソース コード プログラムを独立して分析し、セキュリティ問題を発見できます。
 ソース コード監査の動的および静的手法に精通しており、プログラムの分析方法については SecWiki-Audit を参照してください。
 Wooyun からオープン ソース プログラムの脆弱性を見つけます。分析のために使用し、自分で分析してみます。
 Web 脆弱性の原因を理解し、キーワードを使用して検索して分析します。SecWiki-Code Audit、高度な PHP アプリケーション脆弱性監査テクノロジーを参照してください。
 Web の脆弱性の形成原理とそのような脆弱性を回避する方法をソース コード レベルで検討し、チェックリストにまとめます。

9. セキュリティシステムの設計・開発（5週間）

 独自のセキュリティ システムを確立し、セキュリティに関する提案やシステム アーキテクチャを提案できます。
 個人の強みを反映するためにいくつかの実用的なセキュリティ ツールを開発し、オープンソースにします。
 独自のセキュリティ システムを確立し、会社のセキュリティについて独自の理解と意見を持ちます。  独自の開発を観察してください~
 大規模なセキュリティ システムのアーキテクチャまたは開発を提案または参加します。

5. ナレッジフレームワーク（学習コンテンツ）を完成させる

    知識フレームワークを整理し、学習方法を理解したら、次のステップはフレームワークにコンテンツを埋め込むことです。
    現時点では、CSDN、Zhihu、Bilibili など、多くの選択肢があります。学習教材を共有している人はたくさんいますが、ここには大きな問題があると思います。問題は、 「それらは支離滅裂で不完全です。無料で共有されているチュートリアルのほとんどは、あちこちに 1 つの部分があるだけで、序文もフォローアップもありません。学習するにつれて混乱するでしょう。これは独学後の私の個人的な経験です。」

全段階学習ルート

       いいね、お気に入り登録、コメント欄に「フォロー済み」とメッセージを残してください！みんなでシェアできるよ！皆さんも裏ニュースに注目してください！

    友人たちへのアドバイスは、明確に考えることです。ネットワーク セキュリティを独学するのに近道はありません。それに比べて、体系的なネットワーク セキュリティは、時間とエネルギー コストを大幅に節約できるため、最もコスト効率の高い方法です。待ってください、この道を歩んできた以上、たとえ将来が困難に見えても、歯を食いしばって耐え続ければ、いつかは望む結果が得られます。

 いいねとお気に入りに追加してコメント欄に「フォロー済みです。リクエスト中」とメッセージを残してください！みんなでシェアできるよ！皆さんも裏ニュースに注目してください！

2. ハッキングツール＆SRC技術文書＆PDF書籍＆Webセキュリティ等（共有可能）

6. ネットワークセキュリティの見通し

人材の需要は非常に大きく、市場には大きな欠員があり、モノのインターネット アプリケーションの普及と 5G の普及により、ネットワーク セキュリティのポジションの需要が増加すると考えられます。

長期的には、ネットワーク セキュリティの人気はますます高まり、インテリジェントな分野の台頭により、必然的に新しいネットワーク セキュリティ テクノロジの開発が促進されるでしょう。

将来のネットワーク セキュリティの 3 つの主要な開発方向:

ネットワークセキュリティ（安全性その他の保証）

クラウドネイティブのセキュリティ

 ネットワークセキュリティにおけるAI人工知能の応用（ChatGPT）

大きな開発の余地:

ネットワークエンジニアは社内では基本的に高い地位と高い報酬という「ダブルハイ」の状態にあります。一つの専門性と複数の能力を兼ね備えた幅広い就職先があり、実務経験は様々な分野に応用できます。

大きな付加価値の可能性:

企業のコア ネットワーク アーキテクチャとセキュリティ テクノロジを習得すると、かけがえのない競争上の利点が得られます。自分自身の経験が豊富になり、プロジェクト運営が成熟するにつれて、キャリアの価値は評価される余地があります。

長いキャリアライフ:

ネットワーク エンジニアの仕事の中心は、企業情報の構築と保守にあり、技術的な作業や管理作業も含まれます。プロジェクトの経験を継続的に増やし、業界の背景を深く理解することで、仕事は比較的安定しています。彼は年齢を重ねるにつれてますます人気が高くなります。

7. おすすめの本リスト：

 いいねとお気に入りに追加してコメント欄に「フォロー済みです。リクエスト中」とメッセージを残してください！みんなでシェアできるよ！ (電子書籍リストも含む)

コンピューターのオペレーティング システム:

【1】コーディング：コンピュータのソフトウェアやハードウェアの背後に隠された言語

【2】OSについての深い理解

【3】Windowsオペレーティングシステムについての深い理解

【4】Linuxカーネルと実装

プログラミング開発カテゴリー:

【1】Windowsプログラミング

【2】windwos core になります

【3】Linuxプログラミング

【4】UNIX環境の高度な変革

【5】iOSはこうなります

【6】コードの1行目 Android

【7】C言語設計

【8】Cプライマープラス

【9】Cとポインタ

【10】Cエキスパートプログラミング

【11】C 罠と欠陥

【12】アセンブリ言語（王双）

【13】Javaコア技術

【14】Javaプログラミングのアイデア

【15】Pythonコアプログラミング

【16】Linuxshellスクリプト戦略

【17】アルゴリズム入門

【18】コンパイル原理

【19】コンパイル・逆コンパイル技術の実戦

【20】コードをきれいにする方法

【21】コード事典

【22】TCP/IPの詳しい説明

【23】ルートキット: システムのグレーゾーンに潜む者

【24】ハッカーの攻撃と防御技術ガイド

【25】暗号化と復号化

【26】C++の逆アセンブル・逆解析技術を公開

【27】Webセキュリティテスト

【28】ホワイトハットが語るWebセキュリティ

【29】スクリプトハッキングに堪能

【30】Webフロントエンドのハッキング技術が明らかに

【31】プログラマ向けアプリケーション

【32】英語ライティングハンドブック: スタイルの要素

特別な声明:

このチュートリアルは純粋に技術的な共有を目的としています。このチュートリアルは、悪意のある人に技術サポートを提供することを目的としたものではありません。また、テクノロジーの悪用から生じる連帯責任も負いません。このチュートリアルの目的は、全員がネットワーク セキュリティに最大限の注意を払い、それに対応するセキュリティ対策を講じることにより、ネットワーク セキュリティによって引き起こされる経済的損失を軽減することです。