一、前言
本人10 年工作经验, 擅长 Web 安全攻防、渗透领域, 在金融领域的安全有丰富的实战经验。从事在线教育 3 年多培养学员过万,讲解清晰透彻,课程干货内容多,辅导学员耐心细致
那我们该如何正确学习网络安全(黑客)?
首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
提到零基础通过自学网络安全最终找到一份网络安全的工作,其实这件事还是有难度的,尝试的人很多,最后大半都会失败。失败的原因有很多,包括学成的愿望不够强烈,随便试试的心态、没有好的学习教材以及良性的学习规划、不懂得学习编程的原理、遇到难题无法解决导致学习效率很低、最主要的还是作为一个零基础的初学者没有人指导带着学。所以一个零基础的人通过自己摸索,最后还能找到一份渗透测试的工作是非常不容易的,这样的人往往意志力很坚定,有较强的学习能力,以后都会成为这个行业的技术佼佼者
二、学习网络安全的一些前期准备
1.硬件选择
经常会问我“学习网络安全需要配置很高的电脑吗?”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以,不要打着学习的名义重新购买机器…
2.软件选择
很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统,Linux虽然看着很酷炫,但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习
至于编程语言,首推Python,因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。其他语言还包括C++、Java…
很多朋友会问是不是要学习所有的语言呢?答案是否定的!引用我上面的一句话:学习编程只是工具不是目的,我们的目标不是成为程序员
(这里额外提一句,学习编程虽然不能带你入门,但是却能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识)
3.语言能力
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词,在与其他黑客交流技术或者经验时也会有障碍,所以需要一定量的英文和黑客专业名词(不需要特别精通,但是要能看懂基础的)
比如说:肉鸡、挂马、shell、WebShell等等
三、网络安全学习路线
第一部分:安全基础
1.1.网络安全行业与法规
1.2.Linux操作系统
1.3.计算机网络基础
1.4.HTLM基础
1.5.JavaScript基础
1.6.PHP 入门
1.7.MYSQL基础
1.8.Python编程
第二部分:Web安全
2.1.信息收集
2.2.SQL 注入漏洞
2.3.CSRF 漏洞
2.4.XSS 漏洞
2.5.文件上传漏洞
2.6.文件包含漏洞
2.7.SSRF 漏洞
2.8.XXE 漏洞
2.9.远程代码执行漏洞
2.10.密码暴力猜解与防御
2.11.JWT 渗透与防御
2.12.逻辑漏洞
2.13.Redis 未授权访问漏洞
2.14.反序列化漏洞渗透与防御
2.15.AWVS 漏洞扫描
2.16.Appscan 漏洞扫描
2.17.Nessus 漏洞扫描
2.18.Burp Sui te 从入门到实战
第三部分:渗透实战
3.1.CVE 漏洞复现
3.2.vulnhub 靶场实战系列
3.3.挖漏洞项目实战
3.4.实战漏洞挖掘经验分享
3.5.2023HW 实战专题
3.6.网络安全面试就业指导课
第四部分: 企业安全体系建设
4.1.等级保护
4.2.应急响应
4.3.代码审计
4.4.风险评估
4.5.安全巡检
4.6.数据安全
第五部分:后渗透
5.1.MSF-Metasploit Fram ework
5.2.CS-CobaltStrike
5.3.内网渗透
5.4.系统权限提升渗透与防御
第六部分:代码审计
6.1.MSF-Metasploit Framework
6.2.CS-CobaltStrike
6.3.内网渗透
6.4.系统权限提升渗透与防御
第七部分:二进制安全
7.1.汇编语言程序设计
7.2.C 语言编程入门
7.3.C++编程入门
7.4.Windows 逆向进阶版
7.5.免杀-反杀毒技术
7.6.安卓逆向
7.7.Web Js逆向
第八部分:协议漏洞
8.1.DOS 与 DDOS 参透与防御
8.2.无线相关渗透与防御
8.3.ARP 渗透与防御
第九部分:编程进阶
9.1.HTML5+CSS3 零基础到实战
9.2.Shell 编程
9.3.Golang 语法精讲
第十部分:CTF
10.1.CTF 夺旗赛
10.2.密码学与网络安全
总的来说只需学习10部分 时间4-6个月即可去就业了!
推荐学习方式:视频教程+书籍
因为我当初就是自学的网络安全,到现在干了将近十年的安全,目前在公司的职位是渗透测试工程师,所以对这方面还算比较了解。零基础学习最好的方式应该是“视频教程”配合一些讲原理的书籍来学习,视频教程比较通俗易懂,而书籍重在理论的理解,可以让你从原理上每个阶段的知识点有更加深刻的理解。
视频配套资料&国内外网安书籍、文档&工具
面试刷题
我们学习网络安全必然是为了找到高薪的工作,下面这些面试题是来自百度、京东、360、奇安信等一线互联网大厂最新的面试资料,并且有大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
黑客工具合集
学习规划:
建议一天要拿出至少3个小时来学习,学2个小时的新知识点,剩下1个小时练习,每天先看视频教程,然后把视频中的实战全部练习一遍,加深印象。然后看对应的书籍章节,对于今天所学的知识点加深理论知识的理解,把书中的实战全部在搞一遍。一般教程中都会配有今天的作业,把作业的全部独立完成。如果你能坚持每天学习,这个过程大概要持续四五个月的时间,周期的长短取决于自己的学习能力和每天能拿出多少时间,最后都要把主要的技术点掌握即可。最后能不能成功,就看你能不能挺得住过程中遇到的种种困难,把一个个困难解决,高薪就能拿到。
下面介绍两种快速解决问题的办法:
百度&谷歌
作为网络安全学习者,一定要在开始的时候使用好搜索引擎,网络安全的生态圈虽然还不是很健全,但是你现在所遇到的大部分问题,曾经都有前辈遇到过,很多问题在百度上搜索一下便会有你想要的答案,多尝试自己独立解决问题,慢慢形成习惯,时间久了你解决问题的能力就会飞快提升。
问大佬
百度虽然数据庞大,但是有一些问题在百度上解决不了,这个时候就要寻求更加智能化的武器,那就是“人”。如果身边有做开发的朋友,可以把你的问题发给朋友同学,让他给你进行解答,或者是老师 这样对于我们解决问题的效率就会提高很多。
四、总结
以上是我对网络安全学习的一些分析和学习路线的研究,希望对你有一定的帮助和启发。
小白零基础学习网络安全还是挺难的,我收集整理了很多学习资料,也有学习网络安全需要的靶场,同时也有一套很完善的学习计划。欢迎有兴趣的朋友前来学习交流!
