作为从16年接触网络安全的小白,谈谈零基础如何入门网络安全,有不对的地方,请多多指教。
这些年最后悔的事情莫过于没有把自己学习的东西积累下来形成一个知识体系。
如何入门
- 简单了解网络安全
网络安全就是指的确保网络系统中的数据不被别人破坏,而网安工程师就是涉及程序来维护网络安全。
网安方向有很多职位,比如安全产品工程师,安全分析师,数据恢复工程师,网络架构工程师,安全编程工程师,以及网络集成工程师等。
工作内容主要包括: 安全评测,风险评估,安全服务,防火墙,入侵检测,渗透测试,云防护,系统防护,代码审计等
2. 入门路线
-
了解电脑知识
这个够基础了吧,包括windwos基础,Linux基础,标记语言,代码js基础,网络基础,数据库及虚拟机使用等
可以简单的学会抓包,知道抓到的包在说什么。 -
入手web安全
web架构,web优化及安全防护,学点Python能看懂代码,网站开发也可以学习一些,这里的都是一些基础,不用太深入。
其次想要进入web安全领域,还要学会web渗透,OWASP top 10 等常见的web漏洞原理及利用方式,包括SQL注入,XSS攻击,webshell木马编写,提权,命令执行等。
熟悉基本的概念: SQL 注入,上传,XSS,CSRF,一句话木马等
推荐书籍《 精通脚本黑客》,很老的书了,而且也有一些错误,但是对于入门来说足够。
到这里你就算基本上入门了。
后续学习
攻防演练,等保测评,风险评估,这些都是在你入门后学习的。
熟悉渗透相关的工具:
AWVS ,sqlmap.Burp,nessus,chopper,namp,Appscan 等工具
具体教材可以在SecWiki上搜索。
广义上说,你作为一个网络安全师需要学习的内容如下:
- 通信协议:TCP、HTTP、HTTPs
- 操作系统:Linux、Windows
- 服务架设:Apache、Nginx、LAMP、LNMP、MVC
- 架构数据库:MySQL、SQL Server、Oracle
- 编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)
但我们通常学习20%的核心内容来完成80%的工作,所以压缩一下:
- 安全理论:OWASP TOP 10 、PETS、ISO 27001
- 后端安全:SQL注入、文件上传、Webshell(木马)、文件包含、命令执
- 前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造…
- 安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web入侵防御)、Web主机防护
可以看一个招聘需求:
推荐:CTF
CTF有两点:
- 接近实战的机会。现在网络安全法很严格,不像之前大家能瞎搞
- 题目紧跟技术前沿,而书籍很多落后了。
如果你想打CTF比赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料。
书单推荐:
计算机操作系统:
- 编码:隐藏在计算机软硬件背后的语言
- 深入理解操作系统
- 深入理解windows操作系统
- Linux内核与实现
编程开发类:
- windows程序设计
- windwos核心变成
- Linux程序设计
- unix环境高级变成
- IOS变成
- 第一行代码Android
- C程序语言设计
- C primer plus
- C和指针
- C专家编程
- C陷阱与缺陷
- 汇编语言(王爽)
- java核心技术
- java编程思想
- Python核心编程
- Linuxshell脚本攻略
- 算法导论
- 编译原理
- 编译与反编译技术实战
- 代码整洁之道
- 代码大全
- TCP/IP详解
- Rootkit : 系统灰色地带的潜伏者
- 黑客攻防技术宝典
- 加密与解密
- C++ 反汇编与逆向分析技术揭秘
- web安全测试
- 白帽子讲web安全
- 精通脚本黑客
- web 前端黑客技术揭秘
- 程序员的应用
- 英语写作手册:风格的要素
常见的网络安全及论坛
- 看雪论坛
- 安全课
- 安全牛
- 安全内参
- 绿盟
- 先知社区
- XCTF联盟
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
