乐趣区

关于网络安全:非常详细-建议收藏-奇安信QCCE大牛整理出的网络安全学习路线-学不会我退出安全圈

我是去年 9 月 22 日才正式学习网络安全的,因为在国营单位工作了 4 年,在长沙一个月工资只有 5000 块,而且看不到任何降职的心愿,如果想要往上走,那背地就肯定要有关系才行。而且国营单位的氛围是你干的多了,领导感觉你有野心,你干的不多,领导却感觉你这个人不错。我才 24 周岁,切实的受不了这种工作气氛,情绪曾经压抑了很多久,一心想着要跳进去,却始终找不到适合的机会。因为身边的敌人有在北京做网络安全的,他工作了三年的工夫,能够在北京拿到 3 万的月薪,说心里话我是真的艳羡,这远超出了我的认知范畴。所以通过敌人的举荐,我开始学习网络安全,一共学了大略 5 个多月的工夫,往年的 3 月 6 号在长沙找到了一份浸透测试的工作,我包装了一年的工作教训,月薪 9K 五险一金,这算是胜利上岸了。

在刚开始学习的时候我思考过来线下培训班,然而我敌人不倡议去,因为他就是培训进去的,他和我说去培训班简直没作用,你去了之后会发现全程都是靠本人自学,老师上完课就走,不如本人看视频学有效率,如果再有一次机会,我相对不会花 3 万块钱去培训。因为敌人是过来人,他的倡议我不得不听,而且我在网上查了一下,培训班的口碑仿佛都不好,这就让我间接放弃了培训的想法。况且 3 万的培训费用是我不吃不喝半年的工资,的确有点舍不得。

我的学习心得,我认为能不能自学成功的因素有两点。

第一点就是本身的问题,尽管想要转行学习网络安全的人很多,然而十分强烈的想要转行学好的人是小局部。而大部分人只是抱着试试的心态来学习,这是齐全不可能的。所以能不能学成并且待业,最要害的一点就是本人的欲望是否强烈。我是属于十分强烈那种,因为忍耐不了当初工作的气氛,以及艳羡敌人在北京能够拿到 3 万的月薪,这些因素都促使我十分拼命的学。在加上本身能够做到从上班就开始看视频自学,始终学到早晨 12 点的这股劲,所以能力在 5 个月的工夫内达到待业的程度。

第二点就是有大佬带你,如果全程都靠本人摸索是十分难的,对于一个不是本业余的人来说从开始的时候就“无从下手”。更不要说在学习过程中遇到的有数 bug 问题很难失去解决,因为咱们在学习过程中会遇到有数问题,有的时候一个小问题就能困扰咱们几个小时的工夫,会导致咱们的学习效率很低,这种状况呈现多了当前,信念就会受到打击,感觉本人不适宜学编程,最终放弃。而当有一个大佬去给你解答后,你会很快失去答案,并且能了解为什么要这样做,到底是哪里呈现了问题,学习效率会十分高。

所以总结就是本身盲目被动学习在加上大佬全程带你,其实学习就是这么简略的事件,无非就是这两个要害的因素,少了其中一个都很难胜利。

自学 Java 必须留神的问题:

(1)交换沟通

切记不要认为本人能够摸索自学成功,能达到肯定高度的程度,肯定离不开很多业余人的领导,所以多意识一些大佬尤为重要,圈子真的能够决定咱们能够达到什么程度。

《黑客 & 网络安全入门 & 进阶学习资源包》分享 (qq.com)”)

学习交换 + 疑难解答 + 岗位内推

(2)效率:

能快尽量快,如果你曾经决定要转行学习网络安全,就千万别快人快语,把大部分的精力都投入进来,如果你是那种三天打鱼两天晒网的状况,我劝你尽早的放弃不要浪费时间,有这个工夫去锤炼锻炼身体不好吗?

(3)学习心态

肯定要抱着信心转行的心态来学,本身的志愿强度决定了你是否能转行胜利。

给自学网络安全的初学者的学习倡议:

1. 理解 现在的市场,都须要把握哪些次要技术就能够疾速待业,目前的企业都须要什么人才,这是你学习的方向和指标。

2.零碎的学习布局: 有一个整体学习纲要,要晓得本人每天学习什么,做什么练习进行常识坚固,一个阶段学完后应该实现什么我的项目实战,进行循序渐进的学习,不能够自觉的瞎学。

3.一个大佬的领导: 作为一个初学者肯定要记得找大佬领导你,即便是花点钱也没关系,只有你能把技术学好就行。本人摸索根本都是弯路,很多人为什么学了一两个月就放弃了,因为他不知路线在哪里,整个人都是迷茫的,天然容易放弃。但如果你有了一个大佬带你,他就会给你做具体的学习打算,给你安顿好所有,在整个学习过程中给你解答疑难,你学习起来就会思路清晰,简略效率。

如果须要上面材料,能够点击上面的链接进行获取

《黑客 & 网络安全入门 & 进阶学习资源包》分享 (qq.com)”)

网络安全次要的学习内容:  

1、Web 平安相干概念(2 周)

  • 相熟基本概念(SQL 注入、上传、XSS、CSRF、一句话木马等)。
  • 通过关键字(SQL 注入、上传、XSS、CSRF、一句话木马等)进行 Google/SecWiki;
  • 浏览《精通脚本黑客》,尽管很旧也有谬误,然而入门还是能够的;
  • 看一些浸透笔记 / 视频,理解浸透实战的整个过程,能够 Google(浸透笔记、浸透过程、入侵过程等);

2、相熟浸透相干工具(3 周)

  • 相熟 AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan 等相干工具的应用。
  • 理解该类工具的用处和应用场景,先用软件名字 Google/SecWiki;
  • 下载无后门版的这些软件进行装置;
  • 学习并进行应用,具体教材能够在 SecWiki 上搜寻,例如:Brup 的教程、sqlmap;
  • 待罕用的这几个软件都学会了能够装置音速启动做一个浸透工具箱;

3、浸透实战操作(5 周)

  • 把握浸透的整个阶段并可能独立浸透小型站点。
  • 网上找浸透视频看并思考其中的思路和原理,关键字(浸透、SQL 注入视频、文件上传入侵、数据库备份、dedecms 破绽利用等等);
  • 本人找站点 / 搭建测试环境进行测试,记住请暗藏好你本人;
  • 思考浸透次要分为几个阶段,每个阶段须要做那些工作;
  • 钻研 SQL 注入的品种、注入原理、手动注入技巧;
  • 钻研文件上传的原理,如何进行截断、双重后缀坑骗(IIS、PHP)、解析破绽利用(IIS、Nignix、Apache)等;
  • 钻研 XSS 造成的原理和品种,具体学习办法能够 Google/SecWiki;
  • 钻研 Windows/Linux 提权的办法和具体应用;

4、关注平安圈动静(1 周)

  • 关注平安圈的最新破绽、安全事件与技术文章。
  • 通过 SecWiki 浏览每日的平安技术文章 / 事件;
  • 通过 Weibo/twitter 关注平安圈的从业人员(遇到大牛的关注或者好友果决关注),天天抽时间刷一下;
  • 通过 feedly/ 鲜果订阅国内外平安技术博客(不要仅限于国内,平时多留神积攒),没有订阅源的能够看一下 SecWiki 的聚合栏目;
  • 养成习惯,每天被动提交平安技术文章链接到 SecWiki 进行积淀;
  • 多关注下最新破绽列表,举荐几个:exploit-db、CVE 中文库、Wooyun 等,遇到公开的破绽都去实际下。
  • 关注国内国内上的平安会议的议题或者录像,举荐 SecWiki-Conference。

5、相熟 Windows/Kali Linux(3 周)

  • 学习 Windows/Kali Linux 根本命令、常用工具;
  • 相熟 Windows 下的罕用的 cmd 命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill 等;
  • 相熟 Linux 下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo 等;
  • 相熟 Kali Linux 零碎下的常用工具,能够参考 SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
  • 相熟 metasploit 工具,能够参考 SecWiki、《Metasploit 浸透测试指南》。

6、服务器平安配置(3 周)

  • 学习服务器环境配置,并能通过思考发现配置存在的平安问题。
  • Windows2003/2008 环境下的 IIS 配置,特地留神配置平安和运行权限,;
  • Linux 环境下的 LAMP 的平安配置,次要思考运行权限、跨目录、文件夹权限等;
  • 近程零碎加固,限度用户名和口令登陆,通过 iptables 限度端口;
  • 配置软件 Waf 增强系统安全,在服务器配置 mod_security 等零碎;
  • 通过 Nessus 软件对配置环境进行平安检测,发现未知平安威逼。

7、脚本编程学习(4 周)

  • 抉择脚本语言 Perl/Python/PHP/Go/Java 中的一种,对罕用库进行编程学习。
  • 搭建开发环境和抉择 IDE,PHP 环境举荐 Wamp 和 XAMPP,IDE 强烈推荐 Sublime;
  • Python 编程学习,学习内容蕴含:语法、正则、文件、网络、多线程等罕用库,举荐《Python 外围编程》,不要看完;
  • 用 Python 编写破绽的 exp,而后写一个简略的网络爬虫;
  • PHP 根本语法学习并书写一个简略的博客零碎,参见《PHP 与 MySQL 程序设计(第 4 版)》、视频;
  • 相熟 MVC 架构,并试着学习一个 PHP 框架或者 Python 框架(可选);
  • 理解 Bootstrap 的布局或者 CSS;

8、源码审计与破绽剖析(3 周)

  • 能独立剖析脚本源码程序并发现平安问题。
  • 相熟源码审计的动静和静态方法,并晓得如何去分析程序;
  • 从 Wooyun 上寻找开源程序的破绽进行剖析并试着本人剖析;
  • 理解 Web 破绽的造成起因,而后通过关键字进行查找剖析;
  • 钻研 Web 破绽造成原理和如何从源码层面防止该类破绽,并整顿成 checklist。

9、平安体系设计与开发(5 周)

  • 能建设本人的平安体系,并能提出一些平安倡议或者零碎架构。
  • 开发一些实用的平安小工具并开源,体现集体实力;
  • 建设本人的平安体系,对公司平安有本人的一些意识和见解;
  • 提出或者退出大型平安零碎的架构或者开发;

​编辑

 ​编辑

以上就是初学者大略学习的内容,我是尽量站在初学者的角度来说的,没有写得特地简单,怕初学者看不懂,没有实质性的帮忙。所以我尽量用文言把话说的简略一些,给大家列举出次要学习的 Ja 网络安全知识点。

《黑客 & 网络安全入门 & 进阶学习资源包》分享 (qq.com)”)

退出移动版