谈起黑客,可能各位都会想到:盗号,其实不尽然;黑客是一群喜爱研究技术的群体,在黑客圈中,一般分为三大圈:娱乐圈 技术圈 职业圈。
娱乐圈:主要是初中生和高中生较多,玩网恋,人气,空间,建站收徒玩赚钱,技术高的也是有的,只是很少见。
技术圈:这个圈子里面的黑客是为了能把黑客技术玩到极致的技术狂人,我最佩服的就是这群人,希望以后自己也能成为这样的人。
职业圈:这里面的人群主要就是玩HC为主了,行走于黑白两道之间,富的一批。
一、什么是网络安全
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。
二、怎样规划网络安全
如果你是一个安全行业新人,我建议你先从网络安全或者Web安全/渗透测试这两个方向先学起,一是市场需求量高,二则是发展相对成熟入门比较容易。
值得一提的是,学网络安全,是先网络后安全;学Web安全,也是先Web再有安全。
安全不是独立存在的,而是建立在其他技术基础之上的上层应用技术。脱离了这个基础,就很容易变成纸上谈兵,变成“知其然,不知其所以然”,在安全的职业道路上也很难走远。
如果你是原本从事网工运维,那么可以选择网络安全方向入门;
如果你原本从事程序开发,推荐选择Web安全/渗透测试方向入门。
当然学到一定程度、或者有了一定工作经验,不同方向的技术耦合会越来越高,各个方向都需要会一点。
根据以上网络安全技能表不难看出,网络安全需要接触的技术还远远很多,
常见的技能需要学习:
【一一帮助安全学习,所有资源一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
【一—评论区留言告诉我即可一一】三、网络安全的知识多而杂,怎么科学合理安排?
1、基础阶段
- 中华人民共和国网络安全法 (包含18个知识点)
- Linux操作系统 (包含16个知识点)
- 计算机网络 (包含12个知识点)
- SHELL (包含14个知识点)
- HTML/CSS (包含44个知识点)
- JavaScript (包含41个知识点)
- PHP入门 (包含12个知识点)
- MySQL数据库 (包含30个知识点)
- Python (包含18个知识点)
入门的第一步是系统化的学习计算机基础知识,也就是学习以下这几个基础知识模块:
操作系统、协议/网络、数据库、开发语言、常用漏洞原理。
前面的基础知识学完之后,就要进行实操了。
因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物,所以需要掌握的内容比较多。
2、渗透阶段
- SQL注入的渗透与防御(包含36个知识点)
- XSS相关渗透与防御(包含12个知识点)
- 上传验证渗透与防御(包含16个知识点)
- 文件包含渗透与防御(包含12个知识点)
- CSRF渗透与防御(包含7个知识点)
- SSRF渗透与防御(包含6个知识点)
- XXE渗透与防御(包含5个知识点)
- 远程代码执行渗透与防御(包含7个知识点)
掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。
3、安全管理(提升)
- 渗透报告编写(包含21个知识点)
- 等级保护2.0(包含50个知识点)
- 应急响应(包含5个知识点)
- 代码审计(包含8个知识点)
- 风险评估(包含11个知识点)
- 安全巡检(包含12个知识点)
- 数据安全(包含25个知识点)
主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。
这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。
如果你只学习参加工程师方面的岗位,这一阶段可学可不学。
4、提升阶段(提升)
- 密码学(包含34个知识点)
- JavaSE入门(包含92个知识点)
- C语言(包含140个知识点)
- C++语言(包含181个知识点)
- Windows逆向(包含46个知识点)
- CTF夺旗赛(包含36个知识点)
- Android逆向(包含40个知识点)
主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。
主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。
四、网络安全学习路线
如果你真的想通过自学的方式入门web安全的话,那建议你看看下面这个学习路线图,具体到每个知识点学多久,怎么学,自学时间共计半年左右,亲测有效(文末有惊喜):
1、Web安全相关概念(2周)
2、熟悉渗透相关工具(3周)
3、渗透实战操作(5周)
4、关注安全圈动态(1周)
5、熟悉Windows/Kali Linux(3周)
6、服务器安全配置(3周)
7、脚本编程学习(4周)
8、源码审计与漏洞分析(3周)
9、安全体系设计与开发(5周)
看自己发展咯~
最后
在整理好自己的知识框架,知道该怎么学习之后,下一步就是往框架里面填充内容了。
此时我们的选择也可以很多,比如CSDN,比如知乎,再比如B站,都有很多人在分享自己的学习资料,但我觉得这里存在的很大一个问题就是不连贯、不完善,大部分免费分享的教程,都是东一块西一块,前言不搭后语,学着学着就蒙了,这是我自学之后的亲身感受。
如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,点赞收藏评论区留言“已关注 求 ”!都可以免费分享给大家!等不及的小伙伴也可以直接厚台踢我!或者关注我之后后台会自动发送给大家!关注后大家注意看后台消息就行!
网络安全学习资料和教程,关注自动发送
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
书单推荐:
计算机操作系统:
- 【1】编码:隐藏在计算机软硬件背后的语言
- 【2】深入理解操作系统
- 【3】深入理解windows操作系统
- 【4】Linux内核与实现
编程开发类:
- 【1】 windows程序设计
- 【2】windwos核心变成
- 【3】Linux程序设计
- 【4】unix环境高级变成
- 【5】IOS变成
- 【6】第一行代码Android
- 【7】C程序语言设计
- 【8】C primer plus
- 【9】C和指针
- 【10】C专家编程
- 【11】C陷阱与缺陷
- 【12】汇编语言(王爽)
- 【13】java核心技术
- 【14】java编程思想
- 【15】Python核心编程
- 【16】Linuxshell脚本攻略
- 【17】算法导论
- 【18】编译原理
- 【19】编译与反编译技术实战
- 【20】代码整洁之道
- 【21】代码大全
- 【22】TCP/IP详解
- 【23】Rootkit : 系统灰色地带的潜伏者
- 【24】黑客攻防技术宝典
- 【25】加密与解密
- 【26】C++ 反汇编与逆向分析技术揭秘
- 【27】web安全测试
- 【28】白帽子讲web安全
- 【29】精通脚本黑客
- 【30】web 前端黑客技术揭秘
- 【31】程序员的应用
- 【32】英语写作手册:风格的要素
