기초 없이 네트워크 보안을 배울 수 있는 좋은 제안이 있습니까?

네트워크 보안 초보자로서 먼저 다음 사항을 명확히 해야 합니다.

이제 막 네트워크 보안을 시작했는데, 무엇을 배워야 합니까?

무엇을 배울까요?

방향은 무엇입니까?

선택하는 방법?

둘째, 지금 무엇을 공부해야 할지 모르겠다면, 가장 쉬운 방법은 채용 웹사이트 에 가서 다음과 같은 다양한 회사의 채용 요건을 확인하는 것입니다.

기본 네트워크와 네트워킹, 관련 장비의 사용법을 이해합니다.

Windwos 서버 설정 및 기본 네트워크 구성

기본 html, js, asp, mssql, php, mysql 및 기타 스크립팅 언어를 알아보세요.

더 많은 관련 웹사이트를 설정하고 웹사이트 관리에 대해 자세히 알아보세요.

Linux를 배우고, 기본 애플리케이션, 시스템 구조, 네트워크 서버 구성, 기본 쉘 등을 이해합니다.

Linux에서 iptables, snort 등의 구성을 배우십시오 .

주로 다른 사람의 경험을 살펴봄으로써 일반적인 해커 공격 단계, 방법, 아이디어 등을 배우기 시작합니다.

다양한 네트워크 보안 도구 의 응용, 스캐닝, 원격 제어, 스니핑 , 크래킹 및 관련 보조 도구를 학습합니다.

일반적인 시스템 취약점과 스크립트 취약점을 학습하고 이전에 배운 내용에 따라 포괄적으로 적용합니다.

TCP/IP , 네트워크 프로토콜 및 기타 관련 지식 에 대한 심층 연구

데이터 분석에 대해 더 자세히 알아보세요.

이것들은 가장 기본적인 것일 뿐이고 결국 이것은 기본 지식 포인트일 뿐 시스템 내부 구조, 네트워크 프로그래밍 , 취약점 연구 및 개발 등에 대해서는 아직 포함되지 않았습니다. . .

학습 경로가 매우 명확한 Java, C/C++ 및 기타 백엔드 개발 위치와 달리 네트워크 보안은 스스로 탐구해야 할 부분이 많고 배울 것이 많아 시스템을 구성하기가 어렵습니다.

최근에는 네트워크 보안이 국가 안보 전략의 일부로 포함되면서 이 세분화된 분야의 발전이 크게 가속화되고 있으며, 일부 전통적인 보안 벤더뿐만 아니라 일부 주요 인터넷 기업들도 이 분야에 대한 투자를 늘리고 있습니다. , 점점 더 많은 신선한 피가 쏟아져 들어옵니다.

네트워크 침투의 달인이 되려면 컴퓨터, 네트워크, 프로그래밍의 풀스택 기능을 마스터해야 합니다 운영 체제, 로그 분석, 트래픽 분석, 취약점 공격, 보안 감사, 웹 보안, 네트워크 프로토콜, 프로그래밍 언어 등을 배워야 합니다.

이러한 것 중 일부는 기초과정의 학습을 통해 얻을 수 있고, 일부는 실제 전투훈련을 통해 축적해야 합니다.

1. 탄탄한 컴퓨터 기반

전공이 아닌 학생이라면 네트워크 침투를 공부하는 대부분의 학생들은 웹 프런트엔드 및 백엔드 기술 , 웹 보안 및 누락된 스캐닝 도구에서 여정을 시작합니다.
전혀 문제가 되지 않습니다. 이러한 콘텐츠는 컴퓨터 시스템 지식 시스템에 대한 요구 사항이 상대적으로 낮고 시작하기가 더 빠르고 성취도가 높습니다.
하지만 조만간 놀러 나올 때 갚아야하고, 남겨진 기초는 나중에 보충해야합니다. 네트워크 침투에
종사하는 학생들에게 이러한 기반은 무엇입니까? 컴퓨터 구성 원리 , 데이터 구조 , 알고리즘 에 대해서는 이야기하지 않겠습니다 . 이 세 가지는 가장 밀접하게 연관되어 있습니다: 컴퓨터 네트워크 , 운영 체제 및 Linux, 웹 개발 기술(백엔드 + 프론트 엔드) 이 세 가지는 열심히 공부해야 합니다. 열심히 공부하다! 컴퓨터 네트워크를 배운 후에야 네트워크 통신의 원리, 네트워크 프로토콜 공격이 무엇인지, 트래픽 분석을 수행하는 방법을 알게 됩니다. 운영체제와 리눅스를 학습한 후에는 공격의 근원지 추적 방법 , 시스템 보안 로그 분석 방법 , 서버 권한 상승 원칙을 알게 됩니다. 웹 개발 기술을 학습한 후에는 SQL 인젝션, XSS, CSRF, 원문형 트로이 목마 등 웹 보안 공격 방식의 원리가 무엇인지, 취약점 스캔을 수행하는 방법을 알게 됩니다 .

2. 다량의 실제 전투훈련 축적

기본 지식은 책을 읽으면서 배울 수 있지만, 실제 전투를 통해 축적해야 하는 것도 있습니다.
예를 들어 트래픽 분석과 로그 분석을 통해 웹사이트의 허점을 찾는다
. 예를 들어 POC를 이용해 서버를 무너뜨리는
등 보안 방어 시스템을 구축하는 등
책에서는 표준적인 답을 알려주지 않고 근거가 있어야 한다. 무엇보다도 공격적, 방어적 대결을 통해 자신의 보안 경험을 풍부하게 하고 자신만의 보안 역량을 갖추게 됩니다.
이런 점에서 CTF 플레이, 적청 대결 참여, 네트 보호 등을 통해 훈련 할 수 있습니다.

아직도 학습 방법을 모른다면 다음 네트워크 보안 학습 경로를 살펴보세요 .

1. 웹보안 관련 개념 (2주)

기본 개념(SQL 주입, 업로드, XSS, CSRF, 한 문장 트로이 목마 등)에 익숙합니다.
키워드를 통한 Google/SecWiki(SQL 삽입, 업로드, XSS, CSRF, 한 단어 트로이 목마 등)
"스크립트 해커 마스터하기"를 읽어보세요. 매우 오래되고 오류가 있지만 아직 시작할 수 있습니다.
실제 침입의 전체 프로세스를 이해하려면 몇 가지 침입 메모/비디오를 시청하세요. Google에서 검색할 수 있습니다(침입 메모, 침입 프로세스, 침입 프로세스 등).

2. 침투 관련 도구 숙지(3주)

AWVS, sqlmap , Burp, nessus , Chopper , nmap, Appscan 및 기타 관련 도구 사용에 익숙합니다 .
이러한 도구의 목적과 사용 시나리오를 이해하려면 먼저 소프트웨어 이름 Google/SecWiki를 사용하십시오.
설치하려면 이러한 소프트웨어의 백도어 프리 버전을 다운로드하세요.
배우고 사용하려면 SecWiki에서 특정 교육 자료를 검색할 수 있습니다. 예: Brup의 튜토리얼, sqlmap;
일반적으로 사용되는 소프트웨어를 익힌 후에는 Sonic Start를 설치하여 침투 도구 상자를 만들 수 있습니다.

3. 침투전투작전(5주)

침투의 전체 단계를 마스터하고 소규모 사이트에 독립적으로 침투할 수 있습니다.
인터넷에서 침입 동영상을 찾아 아이디어와 원칙, 키워드(침입, SQL 주입 동영상, 파일 업로드 침입, 데이터베이스 백업 , Dedecms 익스플로잇 등)를 보고 생각해 보세요.
스스로 테스트할 수 있는 사이트를 찾고 테스트 환경을 구축하세요. 자신을 숨기는 것을 잊지 마세요.
사고 침투는 주로 여러 단계로 나누어지며, 각 단계에서 수행해야 할 작업은 무엇입니까?
SQL 주입 유형, 주입 원리 및 수동 주입 기술을 연구합니다.
파일 업로드 원리, 자르기 방법, 이중 접미사 스푸핑(IIS, PHP), 구문 분석 익스플로잇(IIS, Nignix, Apache) 등을 연구합니다.
XSS 형성의 원리와 유형을 연구합니다. 구체적인 학습 방법은 Google/SecWiki가 될 수 있습니다.
Windows/Linux 권한 상승의 방법과 구체적인 사용을 연구합니다.

4. 보안계의 역학에 주목하라(1주)

보안 분야의 최신 취약점, 보안 사고 및 기술 기사에 주의를 기울이십시오.
SecWiki를 통해 일일 보안 기술 기사/이벤트를 찾아보세요.
웨이보/트위터를 통해 보안계 실무자들에게 주의를 기울이고(큰 소의 관심이나 친구의 결정적인 관심을 접한다면) 매일 시간을 내어 확인하세요.
Feedly /fresh Fruit을 통해 국내외 보안 기술 블로그 를 구독하세요(국내에만 국한되지 않고 일반적으로 축적에 더 주의하세요). 피드가 없으면 SecWiki의 집계 열을 보면 됩니다.
축적을 위해 매일 SecWiki에 링크할 보안 기술 기사를 적극적으로 제출하는 습관을 기르십시오.
최신 취약점 목록에 좀 더 주의를 기울이고 Exploit-db , CVE 중국어 라이브러리, Wooyun 등 몇 가지를 권장 하고 공개 취약점을 발견할 때 연습해 보세요.
국내외 보안 컨퍼런스의 주제나 영상을 팔로우하고, SecWiki-Conference를 추천해보세요.

5. Windows/Kali Linux 숙지(3주)

Windows/Kali Linux 기본 명령 및 일반 도구를 알아보세요.
ipconfig, nslookup, tracert , net, tasklist, taskkill 등과 같은 Windows의 일반적인 cmd 명령 에 익숙합니다.
ifconfig, ls, cp, mv, vi, wget, service, sudo 등과 같은 Linux의 일반적인 명령에 익숙합니다 .
Kali Linux 시스템의 일반적인 도구에 대해 잘 알고 있으면 SecWiki, " Kali Linux를 사용한 웹 침투 테스트 ", "Kali를 사용한 해킹" 등 을 참조할 수 있습니다 .
Metasploit 도구에 익숙하다면 SecWiki, "Metasploit 침투 테스트 가이드"를 참조할 수 있습니다.

6. 서버 보안 구성(3주)

서버 환경 구성을 학습하고, 구성에 따른 보안 문제를 사고를 통해 발견할 수 있다.
Windows2003/2008 환경에서 IIS를 구성할 경우 구성 보안 및 작업 권한에 특별한 주의를 기울이십시오.
Linux 환경에서 LAMP의 보안 구성은 주로 실행 권한, 디렉터리 간, 폴더 권한 등을 고려합니다.
원격 시스템 강화, 사용자 이름 및 비밀번호 로그인 제한, iptables를 통한 포트 제한
시스템 보안을 강화하기 위해 소프트웨어 Waf를 구성하고 서버에서 mod_security 및 기타 시스템을 구성합니다.
Nessus 소프트웨어는 구성 환경에서 보안 탐지를 수행하고 알려지지 않은 보안 위협을 발견하는 데 사용됩니다.

7. 스크립트 프로그래밍 학습(4주)

일반적으로 사용되는 라이브러리의 프로그래밍을 배우려면 스크립트 언어 Perl/Python/PHP/Go/Java 중 하나를 선택하세요 .
개발 환경을 구축하고 IDE를 선택하세요. PHP 환경에서는 Wamp와 XAMPP를 권장하고, IDE에서는 Sublime을 강력히 권장합니다.
Python 프로그래밍 학습, 학습 콘텐츠에는 문법, 정규화, 파일, 네트워크, 멀티스레딩 및 기타 일반 라이브러리가 포함됩니다. "Python Core 프로그래밍"을 권장합니다. 읽지 마세요.
Python에서 취약점 익스플로잇을 작성한 다음 간단한 웹 크롤러를 작성합니다 .
PHP 기본 문법을 배우고 간단한 블로그 시스템을 작성하십시오 . "PHP 및 MySQL 프로그래밍(제4판)" 비디오를 참조하십시오.
MVC 아키텍처에 익숙하고 PHP 프레임워크 또는 Python 프레임워크(선택 사항)를 배우십시오.
Bootstrap의 레이아웃 또는 CSS를 이해합니다.

8. 소스코드 감사 및 취약점 분석(3주)

스크립트 소스코드 프로그램을 독립적으로 분석하고 보안 문제를 찾아낼 수 있습니다.
소스 코드 감사의 동적 및 정적 방법에 익숙하고 프로그램 분석 방법을 알고 있습니다.
Wooyun의 오픈소스 프로그램의 취약점을 찾아 분석하고 직접 분석해 보세요.
웹 취약점의 원인을 파악하고, 키워드를 통해 검색, 분석합니다.
웹 취약점의 형성 원리와 취약점을 방지하는 방법을 소스코드 수준에서 연구하고 체크리스트로 정리합니다.

9. 보안시스템 설계 및 개발(5주)

자신만의 보안 시스템을 구축하고 몇 가지 보안 제안이나 시스템 아키텍처를 제시할 수 있어야 합니다.
개인적인 강점을 반영할 수 있는 실용적인 보안 도구와 오픈 소스를 개발하세요.
자신만의 보안 시스템을 구축하고 회사 보안에 대한 자신만의 이해와 의견을 가지십시오.
대규모 보안 시스템의 아키텍처 또는 개발을 제안하거나 참여합니다.