Comecei a trabalhar com segurança quando era estudante do ensino médio, há mais de dez anos, no começo via figurões postando black pages no grupo e achava demais. Aí comecei a aprender aos poucos.Na época, perguntei na internet qual a diferença entre IP e ID,,,
Depois fui aprendendo aos poucos a infusão, quando cheguei na primeira estação era uma vendedora de pianos. Coloquei o webshell, mas não entendi na hora, os baixados da internet na verdade tem backdoor, e vão ser enviados de volta para as caixas de webshell de outras pessoas. Depois de alguns dias, havia muitos anúncios de espinafre em seu site oficial. Naquela época, eu me perguntava se o fabricante de pianos faria este...
Mais tarde, aprendi lentamente e trabalhei lentamente, e usei injeções para cobrir todas as escolas secundárias e secundárias de nosso condado e publiquei algumas páginas negras de Shamat.
Mais tarde, a universidade escolheu a rede de computadores.A base da rede é muito sólida e também oferece muita comodidade para o time vermelho no futuro. Também comecei a aprender a programar lentamente, aprender python e tentar ler o código-fonte do sqlmap.
Então aconteceu que o struts2 explodiu naquele ano e aprendi um pouco de java. Então comece a aprender javaweb, ssh, ssm e escreva alguns sites confusos. Depois de aprender algum desenvolvimento, tenho uma compreensão mais profunda das brechas e provavelmente sei como perceber as funções quando as vejo.
Após a formatura, fui a uma empresa de segurança e comecei a entrar em contato pela intranet. Joguei a primeira intranet em 18 anos, e não tinha muita gente usando cs naquela época
Use-o como uma ferramenta de controle remoto. Naquela época, o site era bom, e eu procurava injeções na rede externa, senhas fracas + uploads, struts2, weblogic e assim por diante. A saída foi boa pela primeira vez, então participei várias vezes da proteção da rede, uma após a outra, e recebi muitos produtos todas as vezes.
Mais tarde, foi para atingir domínios, analisar vulnerabilidades, cavar buracos e revisar códigos, e tornou-se cada vez mais proficiente,,,
Então é meio selvagem.
Conheço muitos chefes de equipe vermelha, alguns se formaram no ensino médio e se formaram no ensino médio técnico enquanto consertavam carros e aprendiam sozinhos. Agora eles são todos grandes nomes da indústria.
Portanto, espero animá-lo, desde que você tenha esse hobby, basta trabalhar duro.
Também compartilho meu resumo sobre como aprender segurança de rede
1. Mal-entendidos e armadilhas do aprendizado de segurança de rede de autoestudo
1. Não tente se tornar um programador primeiro (aprendizagem baseada em programação) e depois comece a aprender
Em minhas respostas anteriores, enfatizei repetidamente não começar a aprender segurança de rede com base na programação. De um modo geral, aprender programação não é apenas um longo ciclo de aprendizado, mas também não há muitos conhecimentos importantes disponíveis após a transição real para a segurança
Se as pessoas comuns querem aprender a programar bem e começar a aprender sobre segurança de rede, geralmente leva muito tempo e é fácil desistir no meio do caminho. E aprender programação é apenas uma ferramenta, não um fim. Nosso objetivo não é se tornar um programador. Sugere-se que no processo de aprendizado de segurança de rede, o que não será preenchido, o que é mais objetivo e consome menos tempo
2. Não considere o aprendizado profundo como a primeira lição
Muitas pessoas almejam aprender segurança de rede bem e solidamente, então é fácil usar muita força e cair em um mal-entendido: é aprender todo o conteúdo a fundo, mas tomar deep learning como a primeira lição de segurança de rede não é Boa ideia. As razões são as seguintes:
[1] A natureza de caixa preta do aprendizado profundo é mais óbvia e é fácil de aprender e engolir
【2】O aprendizado profundo tem altos requisitos em si mesmo, não é adequado para autoestudo e é fácil entrar em um beco sem saída
3. Não colete muitos dados
Existem muitos materiais de aprendizado sobre segurança de rede na Internet e vários gigabytes de materiais que podem ser baixados ou assistidos a cada passo. E muitos amigos têm "vício em coleção", comprando mais de uma dúzia de livros de uma só vez ou colecionando dezenas de vídeos
Muitos materiais de aprendizagem on-line são extremamente repetitivos e a maior parte do conteúdo não foi atualizada há alguns anos. Durante o período introdutório, recomenda-se escolher materiais "pequenos, mas refinados". Abaixo, recomendarei alguns recursos de aprendizado que considero bons para Xiaobai. Leia com paciência.
2. Alguns preparativos preliminares para aprender segurança de rede
1. Seleção de hardware
Muitas vezes me perguntam: "Preciso de um computador com configuração alta para aprender segurança de rede?" A resposta é não, o computador usado por hackers não precisa de nenhuma configuração alta, desde que seja estável. Porque alguns programas usados por hackers, CPUs low-end também podem funcionar muito bem e não ocupam muita memória. Há outro, o hacking é feito sob o comando DOS, para que o computador possa ser usado nas melhores condições! Então , não compre a máquina novamente em nome do aprendizado...
2. Seleção de software
Muitas pessoas ficarão enredadas em aprender se os hackers devem usar o sistema Linux, Windows ou Mac. Embora o Linux pareça legal, não é amigável para iniciantes. O sistema Windows também pode usar a máquina virtual para instalar a máquina de destino para aprendizado
Quanto à linguagem de programação, Python é a mais recomendada devido ao seu bom suporte de expansão. Claro, muitos sites no mercado são desenvolvidos em PHP, então também é possível escolher PHP. Outras linguagens incluem C++, Java...
Muitos amigos vão perguntar se eles querem aprender todos os idiomas? a resposta é negativa! Para citar minha frase acima: Aprender programação é apenas uma ferramenta, não um fim, nosso objetivo não é se tornar um programador
(Uma coisa extra a ser mencionada aqui é que, embora aprender programação não seja um ponto de partida, pode determinar até onde você pode ir no caminho da segurança de rede, por isso recomendo que você aprenda alguns conhecimentos básicos de programação por conta própria)
3. Capacidade de linguagem
Sabemos que os computadores foram inventados pela primeira vez no Ocidente e muitos substantivos ou códigos estão em inglês. Mesmo alguns tutoriais existentes foram originalmente traduzidos do inglês e geralmente leva uma semana para que um bug seja traduzido para o chinês. Vulnerabilidades podem ter sido corrigidas nesta diferença de tempo. E se você não entender alguns termos profissionais, terá obstáculos ao comunicar tecnologia ou experiência com outros hackers, então você precisa de uma certa quantidade de inglês e termos profissionais hacker (você não precisa ser particularmente proficiente, mas deve ser capaz de entender o básico)
Por exemplo: frango, cavalo pendurado, concha, WebShell, etc.
3. Roteiro de aprendizado de segurança de rede
A primeira etapa: começar com operações básicas e aprender conhecimentos básicos
O primeiro passo para começar é aprender alguns cursos de ferramentas de segurança atuais e livros de apoio sobre princípios básicos. De um modo geral, esse processo leva cerca de 1 mês.
Nesta fase, você já tem um entendimento básico de segurança cibernética. Se você concluiu a primeira etapa, acredito que tenha entendido teoricamente o que foi dito acima sobre injeção de sql, o que é ataque xss, e também dominou as operações básicas de ferramentas de segurança, como burp, msf e cs. O mais importante neste momento é começar a lançar as bases!
A chamada "fundação" é na verdade um estudo sistemático de conhecimentos básicos de informática. Se você deseja aprender bem sobre segurança de rede, primeiro deve ter 5 módulos básicos de conhecimento:
1. Sistema operacional
2. Protocolo/Rede
3. Banco de dados
4. Linguagem de desenvolvimento
5. Princípios de Vulnerabilidades Comuns
Qual é a utilidade de aprender esses fundamentos?
O nível de conhecimento em vários campos do computador determina o limite superior do seu nível de penetração.
[1] Por exemplo: se você tiver um alto nível de programação, será melhor do que outros em auditoria de código e as ferramentas de exploração que você escrever serão mais fáceis de usar do que outras;
[2] Por exemplo: se você tiver um alto nível de conhecimento de banco de dados, quando estiver conduzindo ataques de injeção SQL, poderá escrever mais e melhores instruções de injeção SQL, que podem ignorar o WAF que outros não podem ignorar;
【3】Por exemplo: se o seu nível de rede é alto, você pode entender a estrutura de rede do alvo mais facilmente do que outros quando se infiltra na rede interna. Você pode obter uma topologia de rede para saber onde você está e obter a configuração de um arquivo router., você saberá quais rotas eles fizeram;
【4】Para outro exemplo, se o seu sistema operacional for bom, seu privilégio será aprimorado, sua eficiência na coleta de informações será maior e você poderá filtrar com eficiência as informações que deseja.
A segunda etapa: operação prática
1. SRC de Mineração
O objetivo de cavar o SRC é principalmente colocar as habilidades em prática. A maior ilusão de aprender segurança de rede é sentir que você sabe tudo, mas quando se trata de cavar buracos, você não pode fazer nada. O SRC é uma ótima oportunidade para aplicar habilidades.
2. Aprenda com postagens de compartilhamento técnico (tipo de mineração de vulnerabilidade)
Assista e estude todas as postagens de mineração de 0 dias nos últimos dez anos e, em seguida, construa um ambiente para reproduzir as brechas, pense e aprenda o pensamento de escavação do autor e cultive seu próprio pensamento penetrante
3. Prática de alcance
Construa você mesmo um campo de tiro ou acesse um site de campo de tiro gratuito para praticar. Se você tiver condições, pode comprá-lo ou se inscrever em uma instituição de treinamento confiável. Geralmente, existem exercícios de campo de tiro de apoio.
Fase 3: Participar de competições CTF ou operações HVV
Recomendado: Competição CTF
O CTF tem três pontos:
【1】Uma chance próxima ao combate real. Agora a lei de segurança de rede é muito rígida, ao contrário de antes, todos podem mexer
[2] Os tópicos acompanham as fronteiras da tecnologia, mas muitos livros ficam para trás
【3】Se você é um estudante universitário, será muito útil para encontrar um emprego no futuro
Se você quer jogar uma competição CTF, vá direto para as perguntas da competição, se você não entendeu as perguntas da competição, vá para as informações de acordo com o que você não entendeu.
Recomendado: HVV (proteção de rede)
HVV tem quatro pontos:
[1] Também pode exercitar muito você e melhorar suas próprias habilidades. É melhor participar da ação HVV realizada todos os anos
【2】Seja capaz de conhecer muitos figurões no círculo e expandir sua rede
【3】O salário do HVV também é muito alto, então você pode ganhar muito dinheiro se participar
[4] Como a competição CTF, se você for um estudante universitário, também será muito útil para encontrar um emprego no futuro
Em quarto lugar, a recomendação de materiais de aprendizagem
Recomendação da lista de livros:
Sistema operacional do computador:
[1] Codificação: a linguagem escondida por trás do software e hardware do computador
【2】Conhecimento profundo do sistema operacional
【3】Conhecimento profundo do sistema operacional Windows
【4】 Kernel e implementação do Linux
Aula de desenvolvimento de programação:
【1】programação do Windows
【2】O núcleo do Windwos torna-se
【3】Programação Linux
【4】Ambiente Unix avançado para
【5】IOS torna-se
[6] A primeira linha do código Android
【7】Design de linguagem de programação C
【8】C primer mais
[9] C e ponteiros
[10] Programação especialista em C
[11] C armadilhas e defeitos
[12] Linguagem Assembly (Wang Shuang)
【13】tecnologia de núcleo java
【14】idéias de programação java
【15】Programação principal do Python
[16] Estratégia de script de shell do Linux
[17] Introdução aos Algoritmos
[18] Princípio de compilação
[19] Prática de tecnologia de compilação e descompilação
[20] A maneira de limpar o código
[21] Enciclopédia de Código
[22] Explicação Detalhada do TCP/IP
【23】Rootkit: Lurkers na área cinza do sistema
【24】Hacking Ataque e Coleção de Tecnologia de Defesa
【25】Criptografia e descriptografia
【26】Desmontagem C++ e Técnica de Análise Reversa Revelada
[27] teste de segurança na web
【28】White hat fala sobre segurança na web
【29】Proficiente em hacking de scripts
【30】 Segredo da tecnologia de hacking de front-end da Web
[31] Aplicativo do programador
【32】Manual de redação em inglês: elementos de estilo
Segurança e fóruns comuns na Internet
- Fórum de Kanxue
- classe de segurança
- vaca de segurança
- Referência interna de segurança
- Liga Verde
- comunidade profética
- Aliança XCTF
Também compilei algumas informações de segurança de rede para você abaixo. Se não quiser encontrá-las uma a uma, consulte essas informações.
vídeo tutorial
Documentação Técnica SRC&Hacking
Coleção de ferramentas de hacking
Amigos necessitados podem prestar atenção nos bastidores para obtê-lo sozinhos