小白人群想学网安但是不知道从哪入手?一篇文章告诉你如何在4个月内吃透网安课程,掌握网安技术
一、基础阶段
1.了解网安相关基础知识
了解中华人民共和国网络安全法、熟知网络安全的相关概念:包括信息安全、风险管理、网络攻防原理、认证与加密等基本概念,
2. Linux操作系统
Linux操作系统目录结构
Linux命令格式
Linux文件和目录操作命令
Linux用户和用户组操作命令
Linux查看和操作文件内容命令
3. 计算机网络知识
包括TCP/IP协议、网络设备、网络拓扑结构等计算机网络基础知识,
SHELL
Shell脚本掌握常用的Linux命令能编写简单的Shell脚本,处理些简单的事务。
HTML/CSS
在网络安全领域,了解HTML(超文本标记语言)的目的主要是因为HTML是构建网页内容的基础,而网页是网络活动的中心。其作用如下
理解网页结构:了解HTML可以帮助安全专家理解网页是如何构建的,这对于分析网页行为和可能存在的安全隐患至关重要。
审查代码:安全专家需要检查HTML代码,以识别潜在的安全风险,例如恶意脚本注入、钓鱼攻击等。
验证输入和输出:了解HTML有助于实现有效的输入验证和输出编码,这是预防跨站脚本(XSS)等攻击的关键步骤。
构建安全的Web界面:Web开发人员必须了解如何使用HTML构建安全的用户界面,以防止例如点击劫持的攻击。
错误处理和响应:了解HTML可以帮助识别和解释错误处理中的信息泄露问题,例如详细的错误消息可能会暴露系统信息。
安全测试:在进行网站渗透测试或者安全评估时,对HTML的了解是基础,可以帮助模拟攻击者可能采取的手段。
CSS(Cascading Style Sheets,层叠样式表)是为 web 内容添加样式的代码。学习css有助于理解Web技术栈、前端安全、审计和代码审查
JavaScript
JavaScript是一种动态类型、弱类型、基于原型的直译式脚本语言。JS内置支持类型,常用来为网页添加各式各样的动态功能、为用户提供更流畅美观的浏览效果。
作用在于: 检测用户的浏览器信息;处理表单、检验用户输入并提供反馈。我们在某个网页输入密码错误的提醒就是由JS显示的。
使网页具有交互性,响应用户的点击。比如在网页中添加互动组件、滑块等。
根据用户操作,动态地创建页面。
创建修改Cookie(存储浏览器上的临时信息)比如我们访问过的网址,保存的用户名信息等。
PHP入门
php 框架,需要掌握基本知识,包括:核心 php 语法、函数和类、oop概念、数据库交互、restful 架构、数据结构、算法和数据结构复杂度分析,以及软件开发工具(如 git、ide、cli)。
它们可以帮助开发者更快地创建和维护 web 应用程序。
PHP的作用在于Web端网站开发、APP后台开发、微信小程序开发、移动端网站开发
MySQL数据库
作用:将数据持久化到本地、提供结构化查询功能
Python
C语言帮助你理解底层,Python则助你编写网络爬虫、数据处理、图像处理等功能性的软件。是程序员,尤其是黑客们非常钟爱的编程语言不得不学。
C语言(C++可选)C语言适合编写底层软件,还能帮助你理解内存算法、操作系统等计算机知识,建议学一下。
二、渗透阶段
SQL注入的渗透与防御
Xss相关渗透与防御
上传验证渗透与防御
文件包含渗透与防御
CSRF渗透与防御SSRF渗透与防御XXE渗透与防御远程代码执行渗透与反序列化渗透与防御逻辑漏洞
暴力猜解与防御
Redis未授权访问漏洞
AWVS漏洞扫描
Appscan漏洞扫描
Nessus漏洞扫描
MSF-Metasploit Framework
社会工程学
ARP渗透与防御系统权限提升渗透与防御DOS与DDOS渗透与防御内网相关渗透与防御
无线安全相关渗透与防御木马免杀问题与防御vulnhub靶场实战系列Kali高级渗透测试
三、安全管理
渗透报告编写
等级保护2.0
应急响应
代码审计
风险评估安全巡检数据安全
四、提升阶段
密码学
Java
SE入门
C++语吉
CTF夺旗赛
Windows逆向
Android
接下来我给大家讲讲黑客/网安这一块该学哪些东西。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可前往文末获取
先放上路线图
第一阶段:基础操作入门
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在1个月左右比较合适。在这个部分我介绍的课程和书籍都属于难度非常低的,就算是完全零基础的小白只要认真学也是能够学会的
课程我推荐下面这套Web安全入门基础课程,难度不大而且完全免费。这套课程至今已经有19万的学习人次,好评度99%。一共包含了40节课,课程内容主要包含了burp、awvs、cs、msf等当下主流工具的使用,而且每节课程都配备了练习靶场。听完课程后再去靶场进行练习,靶场当中有任何不懂的问题也可以在学习群里请教前辈,这样能够大大提升你的学习效率
在学习基础入门课程的同时,推荐同时阅读相关的书籍补充理论知识,这里比较推荐以下几本书:
- 《白帽子讲Web安全》
- 《Web安全深度剖析》
- 《Web安全攻防 渗透测试实战指南》
第二阶段:学习基础知识
在这个阶段,你已经对网络安全有了基本的了解。如果你认真看完了上面推荐的书籍和课程,相信你已经在理论上明白了上面是sql注入,什么是xss攻击,对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!
所谓的“打地基”其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备5个基础知识模块:
学习这些基础知识有什么用呢?
计算机各领域的知识水平决定你渗透水平的上限。
- 比如:你编程水平高,那你在代码审计的时候就会比别人强,写出的漏洞利用工具就会比别人的好用;
- 比如:你数据库知识水平高,那你在进行SQL注入攻击的时候,你就可以写出更多更好的SQL注入语句,能绕过别人绕不过的WAF;
- 比如:你网络水平高,那你在内网渗透的时候就可以比别人更容易了解目标的网络架构,拿到一张网络拓扑就能自己在哪个部位,拿到以一个路由器的配置文件,就知道人家做了哪些路由;
- 再比如你操作系统玩的好,你提权就更加强,你的信息收集效率就会更加高,你就可以高效筛选出想要得到的信息
这些基础该学到什么程度呢?
计算机各领域的知识水平决定你渗透水平的上限,但是零基础并不是要把上面的全部都学的很好再去搞渗透,那不仅会劝退大部分人,而且像我前面说的深度学习很容易学的囫囵吞枣,最后反而竹篮打水一场空
作为初学者,可以先学习基础。比如你先学一个编程语言的基础,用PHP做例子,你起码要懂if else这些、连接数据库;比如学数据库,用MySQL做例子,那至少也是要会增删改查、子查询这几个操作;网络的话比较难,也是很抽象的,你做外网的渗透,至少要懂基础的http协议,知道端口是什么,知道网站是怎么架设起来的;操作系统的基础相对比较好学,主要是各种命令的作用,各种软件的安装和使用
资料分享
最后,给大家分享一波网络安全学习资料:
我们作为一个小白想转行网络安全岗位,或者是有一定基础想进一步深化学习,却发现不知从何下手。其实如何选择网络安全学习方向,如何进行实战与理论的结合并不难,找准正确方式很重要。
网络安全学习路线&学习资源
接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。
1.成长路线图
共可以分为:
一、基础阶段
二、渗透阶段
三、安全管理
四、提升阶段
同时每个成长路线对应的板块都有配套的视频提供:
视频配套资料&国内外网安书籍、文档
网络安全面试题
最后就是大家最关心的网络安全面试题板块
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取(如遇扫码问题,可以在评论区留言领取哦)~