• 网络安全(黑客)自学


    前言

    网络安全,顾名思义,无安全,不网络。现如今,安全行业飞速发展,我们呼吁专业化的 就职人员与大学生 ,而你,认为自己有资格当黑客吗?

     一、什么是网络安全

    网络安全是保护网络设备数据免遭未经授权的访问或犯罪使用的艺术,以及确保信息的机密性完整性可用性的实践。现在似乎一切都依赖于计算机和互联网——通信(例如,电子邮件、智能手机、平板电脑)、娱乐(例如,交互式视频游戏、社交媒体、应用程序)、交通(例如,导航系统)、购物(例如,在线购物、信用卡)、药品(例如,医疗设备、医疗记录)等等。日常生活有多少依赖于技术?有多少个人信息存储在自己的计算机、智能手机、平板电脑或其他人的系统上?

     二、怎样入门网络安全

    1、安全基础(Linux+MySQL+Python)

    网络安全行业大多数使用的都是一些命令符,但是对于编程开发这一块也是有一些要求的,一些简单的代码还是需要了解的。比如,你想渗透某个网站,那么首先就要知道如何去开发一个网站,如果连最基本的SQL语句都不会写的话,那么怎么去做SQL注入呢?

    所以对各种网络通信协议,对密码学,对前后端、数据库、服务器、shell脚本等内容没有一定的了解,又怎么可能成为一个优秀的网络安全工程师呢?

    想要控制一个人,首先你要了解他,才能知道他的弱点,最后才能施展你的手段。但是无论是哪个过程,都需要花费很长时间和精力去学习和钻研。

    以上内容都是学习网络安全必备的基础,这部分内容没有太大的难度,也没有任何的逻辑性上的难度,只需要多练习多看就完全足够了。基础部分的内容是孰能生巧的事情。
     

    2、安全入门(黑客工具+漏洞挖掘)

    有了前面的计算机网络和编程基础,这一阶段就是正式入门网络安全了。

    网络安全领域几大典型的攻击手法:SQL注入、XSS、CSRF、SSRF、文件上传漏洞等等,每一个都需要详细的学习,都需要一边学习理论原理,一边动手实践。

    这里千万不能拿互联网上的真实网络用来攻击学习!即使这个网站是BC网站,是诈骗网站,都不能在没有授权的情况下进行渗透测试。这是违法的行为!

    在学习的过程中,你自己也可以在虚拟机中搭建一些包含漏洞的网站,拿自己建的网站练手。

    除了这些常见漏洞的攻击方法,还需要对常用的渗透工具有一些简单的了解,这也是大部分同学非常感兴趣的一个板块,因为学会这些工具的使用,就可以升级成一个脚本小子。

    比如:AWVS、sqlmap、Burp、nessus、、nmap、Appscan等相关工具的使用。

    了解该类工具的用途和使用场景,先用软件名字Google/百度,然后下载无后门版的这些软件进行安装;

    如果你已经学到这一步了,那么就需要仔细思考一下了。学习网络安全是想成为一个脚本小子随便玩玩?还是想要进入这个行业,成为一名专业的网络安全工程师?

    如果想要成为一名专业的人才,今后进入网络安全行业,那么可以继续。如果不是的话,那么就不需要往下看了,因为下面的学习内容至少需要3个月时间,并且难度会增大,如果没有足够的毅力、明确的目标,那么就很难坚持下去。

    3、安全进阶(内网渗透+DDoS攻防+社会工程学)

    前面的基础部分学习了一些web安全的攻击手法,但是光学习基础的攻击低不够的。当我们有流量攻击目标之后,如何寻找攻击点,获取目标的信息至关重要。

    这些信息包括:目标运行了什么操作系统、开放了哪些端口、运行了哪些服务、后端服务是什么类型,版本信息是什么等等。有哪些漏洞可以利用,只有获取了这些信息,才能有针对性的制定攻击手段。

    真正意义上的网络渗透,其实不只是使用一些现成的工具,去挖一些上古时代的漏洞,而是拥有很强大的自学和分析、解决问题的能力,然后再用自己的“奇思妙想”去攻破某一个站点。比如说利用自己编写的脚本和工具,或者自己新发现的攻击注入方式。

    上面的学习方法可以参考,并且上面不同方向的技术不是严格意义独立的,很多时候都是相辅相成,需要结合起来,融会贯通的。

    每个人的认知是有限的,建议可以多参考一些总结和经验,横向对比。兼听则明,偏听则暗。

    三、网络安全学习路线

    如果你真的想通过自学的方式入门网络安全的话,那建议你看看下面这个学习路线图,具体到每个知识点学多久,怎么学,自学时间共计半年左右,亲测有效(文末有惊喜)

    ​​

     阶段一:基础入门

    渗透测试基础
    网络基础
    操作系统基础
    Web安全基础
    数据库基础
    编程基础
    CTF基础

    阶段二:技术进阶(到了这一步你才算入门)

    弱口令与口令爆破
    XSS漏洞
    CSRF漏洞
    SSRF漏洞
    XXE漏洞
    SQL注入
    任意文件操作漏洞
    业务逻辑漏洞

    阶段三:高阶提升

    反序列化漏洞
    RCE
    综合靶场实操项目
    内网渗透
    流量分析
    日志分析
    恶意代码分析
    应急响应
    实战训练

    最后

           在整理好自己的知识框架,知道该怎么学习之后,下一步就是往框架里面填充内容了。
    此时我们的选择也可以很多,比如CSDN,比如知乎,再比如B站,都有很多人在分享自己的学习资料,但我觉得这里存在的很大一个问题就是不连贯、不完善,大部分免费分享的教程,都是东一块西一块前言不搭后语学着学着就蒙了,这是我自学之后的亲身感受。

           如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书面试题pdf文档视频以及相关的课件笔记,我都已经学过了,点赞收藏评论区留言已关注 求 ”!都可以免费分享给大家!等不及的小伙伴也可以直接厚台踢我!或者关注我之后后台会自动发送给大家!关注后大家注意看后台消息就行!

        给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。

    网络安全学习资料和教程,关注自动发送

     黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)

     推荐书籍入门

    《白帽子讲Web安全》 2012

    《Web安全深度剖析》2015

    《Web安全攻防 渗透测试实战指南》2018进阶

    《WEB之困-现代WEB应用安全指南》 2013

    《内网安全攻防渗透测试安全指南》 2020

    《Metasploit渗透测试魔鬼训练营》2013

    《SQL注入攻击与防御》2010

    《黑客攻防技术宝典-Web实战篇(第2版)》

    《日志管理与分析权威指南》

    《kali Linux高级渗透测试》

    《黑客社会工程学攻防演练》

    《XSS跨站脚本攻击
    剖析与防御》

    《黑客攻防实战之入门到精通》

  • 相关阅读:
    Apache Kafka 基于 S3 的数据导出、导入、备份、还原、迁移方案
    题目0117-斗地主2
    在全链路追踪中加入对方法(Method)追踪
    赛普拉斯CYpress,初接触之一电磁感应触摸按键demo
    python+django+vue酒店入住客房管理系统
    Lumiprobe ProteOrange 蛋白质凝胶染料说明书
    java计算机毕业设计-食材采购平台-源程序+mysql+系统+lw文档+远程调试
    间隔不到一年开两店,温州鸿雁全屋智能经销商透露了他的生意经
    MySQL学习第二部分:事务的理解
    OWASP Top 10漏洞解析(3)- A3:Injection 注入攻击
  • 原文地址:https://blog.csdn.net/Forget_liu/article/details/132762459