⑴ 鏈夎皝鐭ラ亾銆婇佺粰鍔犺タ浜氱殑涓灝佷俊銆嬶紵
http://www.sc.cninfo.net/tanfo/xiaoshuo/read/jxy.htm
鍔犺タ浜氱殑鏁呬簨鏈鏃╁彂琛ㄤ簬1899騫淬傝繖綃囨枃絝狅紝鍑犱箮涓栫晫涓婃墍鏈夌殑璇璦閮芥妸瀹冪炕璇戝嚭鏉ワ紝瀹冭茶堪浜嗕竴涓淇′嬌鐨勬晠浜嬨
楹﹂噾鍒╂葷粺鎶婁竴灝佸啓緇欏姞瑗誇簹鐨勪俊浜ょ粰浜嗙綏鏂囷紝鑰岀綏鏂囨帴榪囦俊涔嬪悗錛屽苟娌℃湁闂錛"浠栧湪浠涔堝湴鏂癸紵"緗楁枃鐨勪簨榪歸氳繃銆婅嚧鍔犺タ浜氱殑淇°嬩竴鏈灝忓唽瀛愪紶閬嶄簡鍏ㄤ笘鐣岋紝騫舵垚涓烘暚涓氥佹湇浠庛佸嫟濂嬬殑璞″緛銆傛晠浜嬪緢綆鍗曪紝浣嗗叾涓鍗村︽湡鐫瀛︿範涓庡壋涓氱殑閬撶悊銆
鑷村姞瑗誇簹鐨勪俊
鍦ㄦ墍鏈夊叧浜庡彜宸寸殑鍘嗗彶浜嬩歡褰撲腑錛屾湁涓涓浜烘渶璁╂垜闅句互蹇樺嵈銆
緹庤タ鎴樹簤鍙戠敓鍚庯紝緹庡浗蹇呴』絝嬪嵆璺熷彜宸寸殑璧蜂箟鍐涢栭嗗姞瑗誇簹灝嗗啗鍙栧緱鑱旂郴銆傚姞瑗誇簹灝嗗啗鍦ㄥ彜宸翠笡鏋楅噷鈥斺旀病鏈変漢鐭ラ亾紜鍒囩殑鍦扮偣錛屾墍浠ユ棤娉曞啓淇℃垨鎵撶數璇濈粰浠栥備絾緹庡浗鎬葷粺蹇呴』灝藉揩鍦拌幏寰椾粬鐨勫悎浣溿傛庝箞鍔炲憿錛熸湁浜哄規葷粺璇達細鈥滄湁涓涓鍚嶅彨緗楁枃鐨勪漢錛屾湁鍔炴硶鎵懼埌鍔犺タ浜氾紝涔熷彧鏈変粬鎵嶈兘鎵懼埌銆傗
浠栦滑鎶婄綏鏂囨壘鏉ワ紝浜ょ粰浠栦竴灝佸啓緇欏姞瑗誇簹鐨勪俊銆傚叧浜庨偅涓鍚嶅彨緗楁枃鐨勪漢錛屽備綍鎷誇簡淇★紝鎶婂畠瑁呭湪涓涓娌瑰竷鍒剁殑鍙h嬮噷錛屽皝濂斤紝鍚婂湪鑳稿彛錛屽垝鐫涓鑹樺皬鑸癸紝鍥涘ぉ涔嬪悗鐨勪竴涓澶滈噷鍦ㄥ彜宸翠笂宀革紝娑堥濅簬涓涙灄涓錛屾帴鐫鍦ㄤ笁涓鏄熸湡涔嬪悗錛屼粠鍙ゅ反宀涢偅涓杈瑰嚭鏉ワ紝宸插緬姝ヨ蛋榪囧嵄鏈哄洓浼忕殑鍥藉訛紝鎶婇偅灝佷俊浜ょ粰浜嗗姞瑗誇簹鈥斺旇繖浜涚粏鑺傞兘涓嶆槸鎴戞兂璇存槑鐨勩傛垜瑕佸己璋冪殑閲嶇偣鏄錛氶害閲戣幈鎬葷粺鎶婁竴灝佸啓緇欏姞瑗誇簹鐨勪俊浜ょ粰浜嗙綏鏂囷紱鑰岀綏鏂囨帴榪囦俊鍚庯紝騫舵病鏈夐棶錛氣滀粬鍦ㄤ粈涔堝湴鏂癸紵鈥濊薄浠栬繖縐嶄漢錛屾垜浠搴旇ヤ負浠栧戦犱竴搴т笉鏈界殑闆曞儚錛屾斁鍦ㄦ瘡涓鎵澶у﹂噷銆傚勾杞諱漢鎵闇瑕佺殑涓嶄粎浠呮槸瀛︿範涔︽湰涓婄殑鐭ヨ瘑錛屼篃涓嶄粎浠呮槸鑱嗗惉浠栦漢縐嶇嶇殑鎸囧礆紝鑰屾槸瑕佸煿鍏諱竴縐嶆暚涓氱簿紲烇紝瀵逛簬涓婄駭鐨勬墭浠橈紝絝嬪嵆閲囧彇琛屽姩錛屽叏蹇冨叏鎰忓湴鍘誨畬鎴愪換鍔------鎶婁俊甯︾粰鍔犺タ浜氥
鍔犺タ浜氬皢鍐涘凡緇忕誨紑浜轟笘錛屼絾鐜板湪榪樻湁鍏朵粬鍔犺タ浜氾紝鍑℃槸闇瑕佷紬澶氫漢鎵嬬殑浼佷笟緇忚惀鐫錛屾湁鏃跺欎細鍥犱負涓鑸浜虹殑琚鍔------鏃犳硶鎴栦笉鎰挎剰涓撳績鍘誨仛涓浠朵簨------鑰屽ぇ鍚冧竴鎯婏紝鎳掓噿鏁f暎錛屾紶涓嶅叧蹇冿紝椹椹鉶庤檸鐨勫仛浜嬫佸害錛屼技涔庡凡緇忓彉鎴愬父鎬侊紝闄ら潪鑻﹀彛濠嗗績銆佸▉閫煎埄璇卞湴鍙灞炰笅甯鍔╋紝鎴栬呴櫎闈炲囪抗鍑虹幇-----涓婂笣媧句竴鍚嶅姪鎵嬬粰浠栵紝娌℃湁浜鴻兘鎶婁簨鎯呭姙鎴愩傚傛灉浣犱笉鐩鎬俊鐨勮瘽錛屾垜浠鏉ュ仛涓璇曢獙錛屼綘姝ゅ埢鍧愬湪鍔炲叕瀹ら噷------鍛ㄥ洿鐨勫叚鍚嶅憳宸ャ傛妸鍏朵腑涓鍚嶅彨鏉ワ紝瀵逛粬璇達細鈥滆峰府鎴戞煡涓鏌ョ櫨縐戝叏涔︼紝鎶婂摜絝嬪囩殑鐢熷鉤鍋氭垚涓綃囨憳褰曘傗濋偅涓鑱屽憳浼氬鉤闈欏湴璇達細鈥滃ソ鐨勶紝鍏堢敓銆傗濈劧鍚庡氨鍘繪墽琛屽悧?鎴戞暍璇翠粬緇濆逛笉浼氥備粬鍙嶈屼細婊¤劯鐙愮枒鍦版彁鍑轟竴涓鎴栨暟涓涓嬪垪闂棰橈細浠栨槸璋佸憖錛熸槸鍝涓濂楃櫨縐戝叏涔︼紵鐧劇戝叏涔︽斁鍦ㄥ摢鍎匡紵榪欐槸鎴戠殑宸ヤ綔鍚楋紵浣犱笉鏄鎸囦烤鏂楹﹀悧錛熶負浠涔堜笉鍙鏌ラ噷鍘誨仛鍛錛熶粬鏄榪囦笘鐨勪漢鍚楋紵鎬ヤ笉鎬ワ紵鎴戞槸鍚︽妸涔︽嬁鏉ワ紝鐢變綘鑷宸辨煡錛熶綘涓轟粈涔堣佹煡浠栵紵------鎴戞暍浠ュ嶮姣斾竴鐨勮祵娉ㄨ窡浣犳墦璧岋紝鍦ㄤ綘鍥炵瓟浜嗕粬鎵鎻愬嚭鐨勯棶棰樸佽В閲婁簡鎬庝箞鏍峰幓鏌ラ偅涓璧勬枡錛屼互鍙婁綘涓轟粈涔堣佹煡鐨勭悊鐢變箣鍚庯紝閭d釜鑱屽憳浼氳蛋寮錛屽幓鎵懼彟涓涓鑱屽憳甯浠栨煡鍝ョ珛濂囩殑璧勬枡錛 鐒跺悗鍙堝洖鏉ュ逛綘璇達紝鏍規湰鏌ヤ笉鍒拌繖涓浜恆傜湡鐨勶紝濡傛灉浣犳槸鑱鏄庝漢錛屼綘灝變笉浼氬逛綘鐨勫姪鐞嗚В閲婏紝浣犱細婊¢潰絎戝瑰湴璇達細鈥滅畻鍟︹濈劧鍚庤嚜宸卞幓鏌ャ傝繖縐嶈鍔ㄧ殑琛屼負錛岃繖縐嶉亾寰風殑鎰氳岋紝榪欑嶅績鐏電殑鑴嗗急錛岃繖縐嶅戞伅鐨勪綔椋-------閮藉湪鎶婅繖涓紺句細甯﹀埌涓変釜鍜屽皻娌℃按鍠濈殑鍗遍櫓澧冪晫銆傚傛灉浜轟滑閮戒笉鑳戒負鑷宸辮岃嚜鍔ㄨ嚜鍙戱紝浣犲張鎬庝箞鑳芥湡寰呬負鍒浜洪噰鍙栬屽姩鍛錛
鍋囧備綘鍒婄櫥騫垮憡鎷涜仒閫熻板憳錛岄偅涔堝墠鏉ュ簲鑱樼殑浜哄嶮鏈夊叓涔濅笉浼氭嫾鍐欙紝涔熶笉鎳傚緱姝g『鍦頒嬌鐢ㄦ爣鐐癸紝------浠栦滑鐢氳嚦璁や負榪欎簺鏄鏃犳墍璋撶殑銆
榪欐牱鐨勪漢鍙鑳芥妸淇¢佺粰鍔犺タ浜氬悧錛熷湪涓瀹跺ぇ鍏鍙擱噷錛屾葷粡鐞嗗規垜璇達細鈥滀綘鐪嬬湅閭d綅鍚勮板憳銆傗濃滄垜鐪嬪埌浜嗭紝浠栨庝箞鏍峰晩錛熲濃滀粬鏄涓浣嶅緢縐拌亴鐨勪細璁★紝鍋囧傛垜璁╀粬澶栧嚭鍘誨姙涓浠朵簨錛屼粬鍙鑳戒細瀹屾垚浠誨姟錛屼笉榪囦粬寰堝彲鑳戒細鍦ㄩ斾腑灝辮蛋榪涗竴瀹墮厭鍚э紝鑰屼粬濂戒笉瀹規槗鍒拌揪鐩鐨勫湴鏃訛紝浠栧彲鑳芥牴鏈灝變笉璁板緱鎴戣╀粬鍔炰粈涔堜簨浜嗐傗濅綘鑳芥淳榪欑嶄漢閫佷俊緇欏姞瑗誇簹鍚楋紵
鏈榪戞垜鍚鍒板緢澶氫漢錛屼負鈥滈偅浜涗負浜嗕綆宸ヨ祫鑰屽張鏃犲嚭澶翠箣鏃ョ殑宸ヤ綔錛屼互鍙婁負閭d簺涓哄繪眰娓╅ケ鑰屾棤瀹跺彲褰掔殑浜衡濊〃紺哄悓鎯咃紝鍚屾椂鍙堝歸偅浜涢泧涓誨ぇ澹扮棝楠傘備絾鍗存病鏈変漢鎻愯搗榪囷紝鏈変簺鑰佹澘緇堝叾涓鐢熶篃娌℃湁鍔炴硶璁╅偅浜涗笉奼備笂榪涚殑鎳掕櫕鍋氱偣姝g粡宸ヤ綔錛涗篃娌℃湁浜烘彁璧瘋繃錛屾湁浜涜佹澘闀誇箙鑰愬績鍦版兂鎰熷姩閭d簺褰撲粬涓杞韜灝辨姇鏈哄彇宸х殑鈥滃憳宸モ濄傚湪姣忎竴涓鍟嗗簵鍜屽伐鍘傦紝閮芥湁涓涓鎸佺畫鐨勬暣欏垮伐紼嬨傚叕鍙歌礋璐d漢緇忓父鍦伴佽蛋閭d簺鏄劇劧鏃犳硶瀵瑰叕鍙告湁鎵璐$尞鐨勨滃憳宸モ濓紝鍚屾椂涔熷惛寮曟柊鐨勮繘鏉ャ備笉璁轟笟鍔℃庝箞蹇欑岋紝榪欑嶆暣欏誇竴鐩村湪榪涜岀潃銆傚彧鏈夊綋鍏鍙鎬笉鏅姘旓紝灝變笟鏈轟細涓嶅氭椂錛屾暣欏挎墠浼氭湁鏁堬紝閭d簺娌℃湁鑳藉姏鐨勪漢灝嗚鎽堝純鍦ㄥ氨涓氱殑澶ч棬涔嬪栵紝鍙鏈夋渶鑳藉共鐨勪漢錛屾墠浼氳鐣欎笅鏉ワ紝涓轟簡鑷宸辯殑鍒╃泭錛屼嬌寰楁瘡涓涓鑰佹澘鍙淇濈暀閭d簺鏈浣崇殑鍛樺伐----閭d簺鑳藉熸妸淇″甫緇欏姞瑗誇簹鐨勪漢銆
鎴戣よ瘑涓涓鏋佷負鑱鏄庣殑浜猴紝浠栨病鏈夌嫭鑷鍒涗笟鐨勮兘鍔涳紝鑰屽瑰埆浜烘潵璇翠篃娌℃湁涓涓濅竴姣鐨勪環鍊礆紝鍥犱負浠栬佹槸鐤鐙傚湴鎬鐤戜粬鐨勯泧涓誨湪鍘嬫Θ浠栵紝鎴栧瓨蹇冨帇榪浠栥備粬鏃犳硶涓嬪懡浠わ紝涔熶笉鏁㈡帴鍙楀懡浠ゃ傚傛灉浣犺佷粬甯︿俊緇欏姞瑗誇簹錛屼粬鏋佹湁鍙鑳藉洖絳旇達細鈥滀綘鑷宸卞甫鍘誨惂錛佲
褰撶劧錛屾垜鐭ラ亾鍚戜粬榪欑嶉亾寰蜂笉鍋ュ叏鐨勪漢錛屼笉浼氭瘮涓涓鍥涜偄涓嶅仴鍏ㄧ殑浜烘洿鍊煎緱鍚屾儏錛涗絾鏄錛屾垜浠涔熷簲璇ュ悓鎯呴偅浜涘姫鍔涘幓緇忚惀涓瀹跺ぇ浼佷笟鐨勪漢錛屼粬浠涓嶄細鍥犱負涓嬬彮閾冨0鑰屾斁涓嬪伐浣滐紝浠栦滑鍥犱負鍔鍔涘幓緇存寔閭d簺婕犱笉鍏沖績銆佸伔鎳掕鍔ㄣ佹病鏈夎壇蹇冪殑鍛樺伐鐨勫伐浣滆屾棩澧炵櫧鍙戱紝濡傛灉娌℃湁榪欎喚蹇冭鍔鍔涳紝閭d簺鍛樺伐灝嗘尐楗挎垨鏃犲跺彲褰掋
鎴戞槸鍚﹁寸殑涓ラ噸浜嗭紵涔熻告槸鍚э紝涓嶈繃褰撴暣涓涓栫晫鍙樻垚璐姘戠獰錛屾垜瑕佷負鎴愬姛鑰呰村嚑鍙ュ悓鎯呯殑璇-----鍦ㄦ垚鍔熸満浼氭瀬灝忎箣涓嬶紝浠栧煎紩鍒浜虹殑鍔涢噺緇堜簬鑾峰緱鎴愬姛錛涗絾浠栦粠鎴愬姛涓鎵寰楀埌鐨勬槸涓鐗囩┖鉶氾紝闄や簡椋熺墿澶栵紝灝辨槸涓鏃犳墍鑾楓傛垜鏇劇粡鏄涓轟簡涓鏃ヤ笁槨愯屾浛浜哄伐浣滅殑錛屼篃鏇劇粡褰撹繃鑰佹澘銆傛垜鐭ラ亾榪欎袱鏂歸潰鐨勭嶇嶏紝璐絀鋒槸涓嶅ソ鐨勶紱璐鑻︽槸涓嶅煎緱鎺ㄤ粙鐨勶紝騫墮潪鎵鏈夌殑鑰佹澘閮芥槸璐濠鑰呫佷笓妯鑰咃紝灝辮薄騫墮潪鎵鏈夌殑浜洪兘鏄鍠勮壇鑰呫
鎴戦撏浣╃殑鏄閭d簺涓嶈鴻佹澘鏄鍚﹀湪鍔炲叕瀹ら兘鍔鍔涘伐浣滅殑浜猴紱鎴戜篃閽︿僵閭d簺鑳藉熸妸淇′氦緇欏姞瑗誇簹鐨勪漢錛涢潤闈欏湴鎶婁俊鎷垮幓錛屼笉浼氭彁鍑轟換浣曢棶棰橈紝涔熶笉浼氬瓨蹇冩妸淇′涪榪涙按娌熼噷錛岃屼笖涓嶉【涓鍒囧湴鎶婁俊閫佸埌錛岃繖縐嶄漢姘歌繙涓嶄細琚瑙i泧錛屼篃姘歌繙涓嶄細涓哄姞鍚鑰岀艦宸ャ傛枃鏄庡氨鏄涓轟簡鐒﹀績鍦板繪壘榪欑嶄漢鎵嶇殑涓孌甸暱榪滆繃紼嬨
榪欑嶄漢涓嶈鴻佹眰浠諱綍浜嬬墿閮戒細鑾峰緱銆備笘鐣屼笂鎬ラ渶榪欑嶄漢鎵嶏紝榪欑嶈兘澶熸妸淇″甫緇欏姞瑗誇簹鐨勪漢銆
浣犲氨鏄涓浣嶉佷俊鑰咃紝浣犲彧鏈夊儚緗楁枃閭f牱
鏁涓氥佸繝璇氥佸嫟濂嬫墠鑳芥妸淇¢佺粰鍔犺タ浜氾紒
浣滆咃細 錛堢編錛夐樋灝斾集鐗•鍝堜集寰
鍙傝冭祫鏂欙細http://www.sc.cninfo.net/tanfo/xiaoshuo/read/jxy.htm
⑵ 網路安全去應該去哪裡學習呢。
只要想學習哪裡學習都是有效果的。但需要結合自身的一些特點來調整學習方向,這樣學習起來會事半功倍,以下推薦3種學習線路,適用於不同的學習人群;
適用人群:有一定的代碼基礎的小夥伴
(1)基礎部分
基礎部分需要學習以下內容:
(1.1)計算機網路 :
重點學習OSI、TCP/IP模型,網路協議,網路設備工作原理等內容,其他內容快速通讀;
【推薦書籍】《網路是怎樣連接的_戶根勤》一書,簡明扼要,淺顯易懂,初學者的福音;如果覺得不夠專業,可以學習圖靈設計叢書的《HTTP權威指南》;
由於目前市面上的Web伺服器7成都是運行在Linux系統之上,如果要學習滲透Web系統,最起碼還是要對linux系統非常熟悉,常見的操作命令需要學會;
學習建議:學習常見的10%左右的命令適用於90%的工作場景,和office軟體一樣,掌握最常用的10%的功能,基本日常使用沒什麼問題,遇到不會的,再去找相關資料;常見的linux命令也就50-60個,很多小白囫圇吞棗什麼命令都學,這樣其實根本記不住。
【推薦書籍】Linux Basics for Hackers;
(1.3)Web框架 :
熟悉web框架的內容,前端HTML,JS等腳本語言了解即可,後端PHP語言重點學習,切記不要按照開發的思路去學習語言,php最低要求會讀懂代碼即可,當然會寫最好,但不是開發,但不是開發,但不是開發,重要的事情說三遍;
資料庫:
需要學習SQL語法,利用常見的資料庫MySQL學習對應的資料庫語法,也是一樣,SQL的一些些高級語法可以了解,如果沒有時間完全不學也不影響後續學習,畢竟大家不是做資料庫分析師,不需要學太深;
(2)Web安全
(2.1)Web滲透
掌握OWASP排名靠前的10餘種常見的Web漏洞的原理、利用、防禦等知識點,然後配以一定的靶場練習即可;有的小白可能會問,去哪裡找資料,建議可以直接買一本較為權威的書籍,配合一些網上的免費視頻系統學習,然後利用開源的靶場輔助練習即可;
【推薦書籍】白帽子講Web安全(阿里白帽子黑客大神道哥作品)
【推薦靶場】常見的靶場都可以上github平台搜索,推薦以下靶場DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu等,有些是綜合靶場,有些是專門針對某款漏洞的靶場;
(2.2)工具學習
Web滲透階段還是需要掌握一些必要的工具,工具的學習b站上的視頻比較多,挑選一些講解得不錯的視頻看看,不要一個工具看很多視頻,大多數視頻是重復的,且很浪費時間;
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、mesa、airspoof等,以上工具的練習完全可以利用上面的開源靶場去練習,足夠了;
練習差不多了,可以去SRC平台滲透真實的站點,看看是否有突破,如果涉及到需要繞過WAF的,需要針對繞WAF專門去學習,姿勢也不是特別多,系統性學習學習,然後多總結經驗,更上一層樓;
(2.2)自動化滲透
自動化滲透需要掌握一門語言,且需要熟練運用,可以是任何一門自己已經掌握得很熟悉的語言,都可以,如果沒有一門掌握很好的,那我推薦學習python,最主要原因是學起來簡單,模塊也比較多,寫一些腳本和工具非常方便;
雖說不懂自動化滲透不影響入門和就業,但是會影響職業的發展,學習python不需要掌握很多不需要的模塊,也不需要開發成千上萬行的代碼,僅利用它編寫一些工具和腳本,少則10幾行代碼,多則1-200行代碼,一般代碼量相對開發人員已經少得不能再少了,例如一個精簡的域名爬蟲代碼核心代碼就1-20行而已;
幾天時間學習一下python的語法,有代碼基礎的,最快可能一天就可以學習完python的語法,因為語言都是相通的,但是學習語言最快的就是寫代碼,別無他法;接下來可以開始嘗試寫一些常見的工具,如爬蟲、埠探測、數據包核心內容提取、內網活躍主機掃描等,此類代碼網上一搜一大把;然後再寫一些POC和EXP腳本,以靶場為練習即可;有的小夥伴可能又要問了,什麼是POC和EXP,自己網路去,養成動手的好習慣啦;
(2.3)代碼審計
此處內容要求代碼能力比較高,因此如果代碼能力較弱,可以先跳過此部分的學習,不影響滲透道路上的學習和發展。
但是如果希望在Web滲透上需要走得再遠一些,需要精通一門後台開發語言,推薦php,因為後台採用php開發的網站占據最大,當然你還精通python、asp、java等語言,那恭喜你,你已經具備很好的基礎了;
代碼審計顧名思義,審計別人網站或者系統的源代碼,通過審計源代碼或者代碼環境的方式去審計系統是否存在漏洞(屬於白盒測試范疇)
那具體要怎麼學習呢?學習的具體內容按照順序列舉如下 :
掌握php一些危險函數和安全配置;
熟悉代碼審計的流程和方法;
掌握1-2個代碼審計工具,如seay等;
掌握常見的功能審計法;(推薦審計一下AuditDemo,讓你產生自信)
常見CMS框架審計(難度大); 代碼審計有一本國外的書籍《代碼審計:企業級Web代碼安全架構》,當然有空的時候可以去翻翻,建議還是在b站上找一套系統介紹的課程去學習;github上找到AuditDemo,下載源碼,搭建在本地虛擬機,然後利用工具和審計方法,審計AuditDemo中存在的10個漏洞,難度分布符合正態分布,可以挑戰一下;
至於CMS框架審計,可以去一些CMS官方網站,下載一些歷史存在漏洞的版本去審計,框架的學習利用官方網站的使用手冊即可,如ThinkPHP3.2版本是存在一些漏洞,可以嘗試讀懂代碼;但是切記不要一上來就看代碼,因為CMS框架的代碼量比較大,如果不系統先學習框架,基本屬於看不懂狀態;學習框架後能夠具備寫簡單的POC,按照代碼審計方法結合工具一起審計框架;其實也沒沒想像中的那麼難,如果你是開發人員轉行的,恭喜你,你已經具備代碼審計的先天性優勢。
可能有人會問:「我代碼很差,不學習代碼審計行不行?」其實代碼審計不是學習網路安全的必要條件,能夠掌握最好,掌握不了也不影響後續的學習和就業,但你需要選擇一個階段,練習得更專業精通一些,如web滲透或者內網滲透,再或者是自動化滲透;
(3)內網安全
恭喜你,如果學到這里,你基本可以從事一份網路安全相關的工作,比如滲透測試、Web滲透、安全服務、安全分析等崗位;
如果想就業面更寬一些,技術競爭更強一些,需要再學習內網滲透相關知識;
內網的知識難度稍微偏大一些,這個和目前市面上的學習資料還有靶場有一定的關系;內網主要學習的內容主要有:內網信息收集、域滲透、代理和轉發技術、應用和系統提權、工具學習、免殺技術、APT等等;
可以購買《內網安全攻防:滲透測試實戰指南》,這本書寫得還不錯,國內為數不多講內網的書籍,以書籍目錄為主線,然後配合工具和靶場去練習即可;
那去哪裡可以下載到內網靶場?如果你能力夠強,電腦配置高,可以自己利用虛擬機搭建內網環境,一般需要3台以上的虛擬機;你也可以到國外找一些內網靶場使用,有一些需要收費的靶場還可以;
(4)滲透拓展
滲透拓展部分,和具體工作崗位聯系也比較緊密,盡量要求掌握,主要有日誌分析、安全加固、應急響應、等保測評等內容;其中重點掌握前三部分,這塊的資料網路上也不多,也沒有多少成型的書籍資料,可通過行業相關的技術群或者行業分享的資料去學習即可,能學到這一步,基本上已經算入門成功,學習日誌分析、安全加固、應急響應三部分的知識也相對較為容易。
適用人群:代碼能力很弱,或者根本沒有什麼代碼能力,其他基礎也相對較差的小夥伴
基礎需要打好,再學習Web滲透比如linux系統、計算機網路、一點點的Web框架、資料庫還是需要提前掌握;
像php語言、自動化滲透和代碼審計部分內容,可以放在最後,當學習完畢前面知識後,也相當入門後,再來學習語言,相對會容易一些;
【優先推薦】方法2,對於小白來說,代碼基礎通常較弱,很多很多小白會倒在前期學習語言上,所以推薦方法2的學習,先學習web滲透和工具,也比較有意思,容易保持一個高漲的學習動力和熱情,具體學習內容我就不說了,請小夥伴們參照方法1即可。
適用人群:需要體系化學習、增強實戰能力的小夥伴
具體根據自身條件來講,如果你自學能力較差,那建議選擇課程學習,網上各大平台等都有很多各式各樣的課程,是可以更快幫助你迅速入門的,然後再根據自己自身所欠缺的方面,不斷去完善和學習,最後達到你所要的優秀水平。
學習書籍推薦如下:
【基礎階段】
Linux Basics for Hackers(中文翻譯稿)
Wireshark網路分析(完整掃描版)
精通正則表達式(中文第3版)
圖解HTTP 彩色版
[密碼學介紹].楊新.中文第二版
網路是怎樣連接的_戶根勤
[PHP與MySQL程序設計(第4版)].W.Jason.Gilmore
【web滲透階段】
web安全攻防滲透測試實戰指南
白帽子講Web安全
Web安全深度
【自動化滲透階段】
Python編程快速上手-讓繁瑣工作自動化
【代碼審計階段】
代碼審計:企業級Web代碼安全架構
【內網滲透階段】
內網安全攻防:滲透測試實戰指南
社會工程防範釣魚欺詐