各位自学网络安全的朋友们,你们的路线是什么?

说真的,知乎上关于学习网络安全的路线有很多,但是我个人认为大部分的回答其实并不落地,很多回答小白看完了直接劝退

大部分回答推荐的学习路线无非以下几种:

1.从编程开始掌握,前端后端、通信协议、什么都学。

但是如果是从编程开始学习的话,学习编程至少半年.而且学完以后实际过渡到安全用到的关键知识根本就不多.学会网络安全,编程确实是非常重要的,但是那也是等你掌握了一定的技能以后再去学习,一开始就学习编程很容易跑偏

2.先从看安全方面的书籍开始学习

其实我个人是不太推荐小白一上来就看书,因为书籍对于大部分小白来说根本就是天书,完全看不懂

而且从看书开始的话,且不说所有的书籍加起来费用不少,最关键的是效率低.要把所有书籍内容脱产自学的话至少需要3年。边工作边自学的话,如果工作内容不能与学习内容高度重合,那么至少需要5年以上时间。

上面的两点是小白在刚开始入门学习黑客最常见的学习路线,但是应该也有很多人会陷入自我怀疑:我到底入门了吗?我还要学多久才能成为一名真正的黑客?

下面我来分享我从业网络安全教育十年经验总结出来的一条完全零基础学习黑客的学习路线

先放上思维导图


各位自学网络安全的朋友们,你们的路线是什么?插图1

零基础应该怎么学网络安全?

第一阶段:学习前的准备:

1.了解一些黑客或者计算机领域的英文专业名词

我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了.而且如果不理解一些专业名词,在与其他黑客交流技术或经验时也会有障碍.所以需要掌握一定量的英文和黑客专业名词,也不是说一定要特别的精通,但是一定的专业名词的英语基础要有的。

比如说:肉鸡,挂马,shell,WebShell等等(有需要的话我后期也可以帮大家整理出来,留言告诉我)

2.关注线上社区、论坛、媒体和线下活动

在这个过程中你能接触到志同道合、有共同兴趣爱好的人,不仅可以组成圈子一起打卡学习,更重要的话这些人可能在你每一次遇到瓶颈,想要放弃时推你一把,给你帮助。遇到疑惑时,找个懂行的人聊一聊也总是最靠谱的方法。

第二阶段:入门学习

1.学习使用安全工具

花时间去了解下OWASP TOP 10,学习下主流的扫描器、工具、和使用方法,例如学习使用burpsuite、awvs、sqlmap、菜刀、nmap等安全工具。当你学会使用这些安全工具之后,你就达到了脚本小子的级别,这个阶段是非常简单就可以学成的,但是对于转岗来说是远远不够的!

网上的学习视频大多都是碎片化,不成体系的,而且没有配备的靶场练手。这里我推荐下面这个视频课程,零基础体系化的教学课程,还有配备的靶场实操。感兴趣的朋友可以点下方卡片免费报名

插句题外话:
为什么要先学工具再学原理?
新手一上来就学习原理,很难理解.所以先掌握基本的工具以后再去学习原理,理解起来会更容易.就跟我们学开车是一样的道理,先掌握了开车技能再去学习汽车构造原理就好理解很多

2.学习Web安全相关概念

熟悉基本概念,例如:SQL注入、上传、XSS、CSRF等。

了解web功能系统和系统原理。

了解Web前后端基础与服务器通信原理。其中前后端包括H5、JS、PHP、SQL,服务器包含WinServer、Nginx、Apache等。

3.学习主流漏洞的原理与利用

学习php的相关版本的各种漏洞,服务器相关漏洞,还有上面的了解的SQL、XSS、CSRF等主流漏洞的原理与利用学习

4.渗透实战训练

了解渗透、SQL注入、文件上传入侵、数据库备份、dedecms漏洞利用等原理后,就是寻找授权站点或者尝试自己搭建测试环境进行测试。掌握SQL注入的种类、原理以及手动注入技巧。学习文件上传的原理,例如如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等。学习XSS形成的原理和种类。研究Windows/Linux提权的方法和具体使用。

5.关注安全圈动态

关注安全圈的最新漏洞、安全事件与技术分享文章。通过学习他人的漏洞挖掘思路和技巧,拓宽自己的挖掘思路,提高自身技术,积累经验。

到这一阶段,之后对挖掘漏洞的技术多加练习与积累实战经验,就可以达到安全工程师的级别

第三阶段:技能提升

1.学习Windows/Kali Linux基本命令、常用工具

学习Windows下的常用的cmd命令,包括ipconfig,nslookup,tracert,net,tasklist,taskkill等;学习Linux下的常用命令,即ifconfig,ls,cp,mv,vi,wget,service,sudo等。还要学习Kali Linux系统下的常用工具以及metasploit工具。

2.学习服务器环境配置,并能通过思考发现配置存在的安全问题。

3.选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习。

4.进行源码审计与漏洞分析

熟悉源码审计的动态和静态方法,并知道如何去分析程序。

5.能建立自己的安全体系,并能提出一些安全建议或者系统架构

这一步就需要经验的积累,不断地学习加上一定的悟性,这个就能达到安全大咖级别,但是这个级别的人还是不多的,需要有非常丰富的实战经验

    本站链接:blog.huangfeiyun.cn

    © 版权声明
    THE END
    喜欢就支持一下吧♡
    点赞1赞赏
    分享
    评论 抢沙发