Explicação completa sobre segurança de rede (hacking autodidata)

Este tutorial é um compartilhamento puramente técnico! O objetivo deste tutorial não é de forma alguma fornecer suporte técnico para aqueles com más intenções! Também não assume responsabilidade solidária decorrente do mau uso da tecnologia! O objetivo deste tutorial é maximizar a atenção de todos à segurança da rede e tomar as medidas de segurança correspondentes para reduzir as perdas económicas causadas pela segurança da rede. ! ! !

I. Introdução

Se você quiser aprender sobre segurança de rede (tecnologia de hacking) sozinho, primeiro você deve entender o que é segurança de rede! Que hacker!

A segurança da rede pode ser classificada com base na perspectiva de ataque e defesa. A "equipe vermelha" e o "teste de penetração" que ouvimos com frequência são pesquisas sobre tecnologia de ataque, enquanto a "equipe azul", "operação de segurança" e "operação e manutenção de segurança " são pesquisas em tecnologia de defesa.

Independentemente do campo de rede, web, móvel, desktop, nuvem, etc., existem dois lados de ataque e defesa.Por exemplo, a tecnologia de segurança da web inclui penetração na web e tecnologia de defesa da web (WAF). Como engenheiro de segurança de rede qualificado, você deve ser ofensivo e defensivo. Afinal, você pode vencer todas as batalhas se conhecer a si mesmo e ao inimigo.

2. Definição

Hackers referem-se àqueles que têm conhecimento profissional de tecnologia informática e podem romper a segurança do sistema de forma criativa, explorar e descobrir lacunas e fraquezas nos sistemas informáticos. Os hackers possuem uma ampla gama de habilidades e podem ser especialistas em segurança de computadores, programadores de rede ou entusiastas de tecnologia da informação.

3. Classificação

Dependendo de como se comportam e de seus motivos, os hackers podem ser divididos nas seguintes categorias:

1. Hacker de Chapéu Branco

Os hackers de chapéu branco são um grupo de hackers com um conceito moral elevado. Eles melhoram a segurança da rede descobrindo vulnerabilidades do sistema e reportando-as às partes relevantes. Seu objetivo é proteger os sistemas de rede contra ataques e ajudar a corrigir vulnerabilidades para garantir que os dados dos usuários não sejam perdidos.

2. Hacker de chapéu preto

Black hat hackers são aqueles que se envolvem em atividades ilegais, utilizam sua capacidade técnica para causar danos, roubar informações de outras pessoas ou buscar benefícios indevidos. São ameaças à segurança da rede e devem ser punidas por lei.

3. Hacker de chapéu cinza

Os hackers de chapéu cinza ficam entre os hackers de chapéu branco e os hackers de chapéu preto, eles podem encontrar vulnerabilidades do sistema e relatar ou explorar essas vulnerabilidades para ganho pessoal, mas geralmente não causam danos graves.

4. Cultura Hacker

A cultura hacker é um grupo cultural especial e disperso, alguns hackers defendem o espírito de abertura, compartilhamento e exploração. Geralmente buscam inovações e avanços tecnológicos, defendem o livre acesso e uso da informação e também prestam muita atenção à proteção da privacidade.

V. Questões Éticas

As questões éticas envolvidas no hacking são altamente debatidas. Em seu comportamento existe uma contradição entre legalidade e moralidade. É importante notar que a cultura hacker não está necessariamente associada ao crime, embora o hacking às vezes seja visto como crime.

6. O papel dos hackers

Os hackers desempenham um papel importante no campo da segurança da informação. Ao descobrir e divulgar vulnerabilidades do sistema, eles avançam no desenvolvimento de software e na segurança da rede, ajudando a proteger a privacidade pessoal e os segredos corporativos contra acesso não autorizado. Além disso, alguns hackers fizeram contribuições notáveis para comunidades técnicas, software de código aberto e serviços de Internet.

O mais familiar é o Hongke chinês que todo mundo chama! Foi organizado espontaneamente por um grupo de antecessores que foram os primeiros a contactar com a segurança de redes no meu país!

7. Dicas para hackers

Sugestão 1: Sete Níveis de Hackers

Os hackers são cheios de tentações para muitas pessoas. Muitas pessoas podem descobrir que este campo é como qualquer outro. Quanto mais fundo você for, mais ficará maravilhado. O conhecimento é como um oceano, e os hackers também têm alguns níveis. Consulte o compartilhamento do CEO Chuangyu ic (um membro da maior equipe de hackers do mundo 0x557) da seguinte forma:

Lengtouqing Nível 1 [milhões de pessoas]: Pode usar ferramentas de segurança, só pode digitalizar e decifrar senhas

Administradores de sistema de nível 2 [dezenas de milhares]: fazem bom uso de ferramentas de segurança, especialmente familiarizados com sistemas e redes

Desenvolvedores de grandes empresas de nível 3 ou empresas principais de segurança Da Niu [milhares de pessoas]: muito familiarizados com o sistema operacional, começaram a desenvolver códigos e escreveram seus próprios scanners

O nível 4 pode encontrar e explorar vulnerabilidades [centenas de pessoas]: quem pode encontrar vulnerabilidades sozinho, encontrar 0DAY sozinho e escrever Exp para explorar vulnerabilidades e realizar testes de protocolo para vulnerabilidades de mineração de sistema

Nível 5 alto nível [menos de cem pessoas]: pessoas que defendem e constroem sistemas

Nível elite 6 [dezenas a uma dúzia de pessoas]: Compreensão profunda do sistema operacional

Nível 7 Big Niu Niu [Poucos]: Mark Zuckerberg, Albert Einstein e outras pessoas que mudaram o mundo

Você pode ver, em que nível você está agora? Você pode estar se perguntando em que nível estou, meu nível não é alto e estou no caminho de buscar um avanço. No entanto, também pratiquei as outras duas habilidades, o que pode me permitir fazer um avanço mais interessante.Quanto ao que é, sinto muito, como ouso ser presunçoso antes de ter sucesso.

Sugestão 2: aprenda a observar

Costumo dizer que a Internet está cheia de tesouros e a observação é a primeira habilidade necessária. Se você for bom em observar e resumir, descobrirá alguns caminhos mais rapidamente, o que facilitará sua vida do que outros.

Sugestão 3: círculo

No processo acima, você definitivamente se familiarizará com alguns IDs. Você quer fazer alguns amigos? Mostre seus pontos fortes, compartilhar é importante, ninguém gosta de estender a mão ou trollar.

É especialmente recomendado compreender os atributos clássicos de todos os grupos do próximo círculo, e recomendar os livros “O Gene Egoísta” e “A Multidão”.

Dica Quatro: Criatividade

Mencionei antes que para ser criativo o suficiente, existem dois pontos-chave, um é “visão” e o outro é “foco”. A visão é horizontal e a concentração é vertical. As duas precisam estar equilibradas, porque a energia humana é limitada (a lei da conservação de energia). Enquanto um deles estiver desequilibrado, nenhum dos dois existirá.

Para a maioria das pessoas, focar é o mais difícil, afinal este é um processo imediato de redução de entropia, um processo de auto-organização da informação. Sério, você acelerou o fim do universo por causa do seu foco. Quanto ao motivo, não será expandido aqui. Resumindo, é muito difícil focar e você tem que se forçar muitas vezes.

Por causa de genes egoístas, os seres humanos estão sempre explodindo a sua criatividade, consciente ou inconscientemente. Um pouco de criatividade pode mudar o mundo, um pouco de criatividade pode mudar a família e um pouco de criatividade pode mudar você mesmo. Tudo isso é criatividade. Quanta criatividade você precisa depende dos seus genes, de quem você quer ser.

Afinal, existem “muito poucas” pessoas que podem mudar o mundo...

Sugestão 5: Alguns bons recursos

Abra seu navegador e pesquise por:

i Chunqiu, Wuyun, Zhichuangyu tabela de habilidades de P&D v3.0, FreeBuf, chega!

Se essas poucas pistas não abrirem a visão de mundo do seu hacker e não o tornarem criativo o suficiente, então é inútil perguntar mais. Sugiro que você realmente saboreie um pouco do conhecimento que eles proporcionam, siga as vinhas e aos poucos estenda seus tentáculos para o mundo. Como eu disse antes, aprenda a observar

8. Mal-entendidos e armadilhas do auto-estudo de aprendizagem de segurança de rede

1. Não tente primeiro se tornar um programador e depois comece a aprender

Nas minhas respostas anteriores, enfatizei repetidamente para não começar a aprender segurança de rede com base na programação.De modo geral, aprender programação não é apenas um longo ciclo de aprendizagem, mas também não há muitos conhecimentos importantes disponíveis após a transição real para a segurança.

Se as pessoas comuns quiserem aprender bem a programar e começar a aprender segurança de rede, isso geralmente leva muito tempo e é fácil desistir no meio do caminho. E aprender programação é apenas uma ferramenta, não um fim. Nosso objetivo não é nos tornarmos programadores. Sugere-se que no processo de aprendizagem da segurança da rede, o que não será preenchido, o que é mais proposital e menos demorado

2. Não considere o aprendizado profundo como a primeira lição

Muitas pessoas pretendem aprender bem e de forma sólida sobre segurança de rede, por isso é fácil usar muita força e cair em um mal-entendido: é aprender todo o conteúdo a fundo, mas não é certo usar o aprendizado profundo como primeira lição de segurança de rede. Boa ideia. As razões são as seguintes:

[1] A natureza da caixa preta do aprendizado profundo é mais óbvia e é fácil de aprender e engolir

【2】O aprendizado profundo tem altos requisitos, não é adequado para auto-estudo e é fácil entrar em um beco sem saída

3. Não colete muitos dados

Existem muitos materiais de aprendizagem sobre segurança de rede na Internet e vários gigabytes de materiais que podem ser baixados ou assistidos a cada passo. E muitos amigos têm “vício em coleção”, comprando mais de uma dúzia de livros de uma vez ou colecionando dezenas de vídeos

Muitos materiais de aprendizagem online são extremamente repetitivos e a maior parte do conteúdo não foi atualizada há alguns anos. Durante o período introdutório, é recomendável escolher materiais "pequenos, mas refinados". Abaixo, recomendarei alguns recursos de aprendizagem que considero bons para Xiaobai. Leia com paciência.

9. Alguns preparativos preliminares para aprender segurança de rede

1. Seleção de hardware

Muitas vezes me perguntam "Preciso de um computador com configuração alta para aprender segurança de rede?" A resposta é não, o computador usado por hackers não precisa de nenhuma configuração alta, desde que seja estável. Porque alguns programas usados por hackers , CPUs low-end também podem funcionar muito bem e não ocupam muita memória. Tem outro, o hacker é feito sob o comando DOS, para que o computador possa ser usado nas melhores condições! Então, não compre novamente a máquina em nome do aprendizado...

2. Seleção de software

Muitas pessoas ficarão envolvidas em aprender que os hackers devem usar o sistema Linux, Windows ou Mac. Embora o Linux pareça legal, ele não é amigável para iniciantes. O sistema Windows também pode usar a máquina virtual para instalar a máquina de destino para aprendizagem

Quanto à linguagem de programação, Python é a mais recomendada devido ao seu bom suporte a expansões. Claro que muitos sites do mercado são desenvolvidos em PHP, então também é possível optar pelo PHP. Outras linguagens incluem C++, Java...

Muitos amigos perguntarão se querem aprender todos os idiomas? a resposta é negativa! Para citar minha frase acima: Aprender programação é apenas uma ferramenta, não um fim, nosso objetivo não é nos tornarmos programadores

(Uma coisa extra a mencionar aqui é que, embora aprender programação não possa ajudá-lo a começar, ele pode determinar até onde você pode ir no caminho da segurança de rede, por isso recomendo que você aprenda alguns conhecimentos básicos de programação sozinho)

3. Habilidade linguística

Sabemos que os computadores foram inventados no Ocidente e que muitos substantivos ou códigos estão em inglês. Até mesmo alguns tutoriais existentes foram originalmente traduzidos do inglês e geralmente leva uma semana para que um bug seja traduzido para o chinês. Vulnerabilidades podem ter sido corrigidas nesta diferença de horário. E se você não entender alguns termos profissionais, terá obstáculos ao comunicar tecnologia ou experiência com outros hackers, então você precisa de uma certa quantidade de termos profissionais em inglês e de hackers (você não precisa ser particularmente proficiente, mas deve ser capaz de entender o básico)

Por exemplo: frango, cavalo pendurado, concha, WebShell, etc.

10. Rota de aprendizagem sobre segurança de rede (último arranjo para 2023)

Essa parte do conteúdo ainda está relativamente distante para alunos com base zero, então não vou entrar em detalhes e anexar o roteiro de aprendizagem.

Imagem muito grande! Se o upload não estiver claro e precisar de uma versão em PDF em alta definição, você pode deixar uma mensagem para me avisar ou me chutar! Devido ao número limitado de mensagens privadas de estranhos todos os dias! Você também pode me seguir. Depois de seguir, o fundo enviará automaticamente um link de compartilhamento, e você mesmo poderá retirá-lo!

Fase 1: Noções básicas de segurança

Indústria e regulamentações de segurança cibernética

Sistema operacional Linux

rede de computadores

HTML PHP Mysql Python Noções básicas para domínio prático

Fase Dois: Coleta de Informações

Coleta de informações de IP

Coleta de informações de nomes de domínio

Coleta de informações do servidor

Coleta de informações do site

Hackeando o Google

Mapeamento de segurança de rede Fofa

Fase Três: Segurança na Web

Vulnerabilidade de injeção SQL

XSS

Vulnerabilidade CSRF

Vulnerabilidade de upload de arquivo

arquivo contém bug

Vulnerabilidade SSRF

Vulnerabilidade XXE

Vulnerabilidades de execução remota de código

Quebra de senha e defesa por força bruta

Vulnerabilidades de análise de middleware

Vulnerabilidades de desserialização

Estágio Quatro: Ferramentas de Penetração

MSF

Ataque de cobalto

Suíte Burp

Nessus Appscea AWVS

Raio X de Goby

Sqlmap

Nmap

Kali

A quinta etapa: escavação de combate real

Habilidades de mineração de vulnerabilidade

Fonte

Cnvd

Projeto de teste coletivo

Recorrência de vulnerabilidades CVE populares

Combate no campo de tiro

Nota: As três primeiras etapas são o foco do aprendizado

11. Compartilhamento de materiais de aprendizagem

A estrutura de aprendizagem foi resolvida e agora faltam recursos. Separei os documentos de recursos correspondentes a todos os pontos de conhecimento aqui. Se você não quiser procurá-los um por um, pode consultar estes materiais !

Curta, favorito, deixe uma mensagem na área de comentários “Já preocupado”! Ele pode ser compartilhado com todos gratuitamente! Amigos que mal podem esperar também podem me chutar diretamente! Ou depois de me seguir, o background irá enviá-lo automaticamente para todos! Depois de prestar atenção, preste atenção às notícias de fundo!

1. Tutorial em vídeo

2. Ferramentas de hacking e documentos técnicos SRC e livros em PDF e segurança na web, etc.

epílogo

A indústria de segurança de rede é como um rio e um lago, onde se reúnem pessoas de todas as cores. Em comparação com muitas famílias decentes com bases sólidas em países europeus e americanos (compreendem a criptografia, sabem como proteger, podem cavar buracos e são bons em engenharia), nossos talentos são mais heréticos (muitos chapéus brancos podem não estar convencidos), então em o futuro Formação de talentos e Em termos de construção, é necessário ajustar a estrutura e incentivar mais pessoas a fazerem "sistema e construção" "positivos" que combinem "negócios" e "dados" e "automação" para saciar a sede para talentos e realmente servir a sociedade de forma integral. A Internet fornece segurança.