在大多数的思维里总觉得学习网络安全得先收集资料、学习编程、学习计算机基础,自学那么久,看了那么多视频,还是挖不到漏洞,无法拿出自己最得意的作品。
我整理了以前很多收藏过的储备内容,就算给大家一个新的礼物,虽然不够奢华,但它朴实又散发着光华。
网络安全是一门技术,任何技术的学习一定是以实践为主的。很多的理论知识其实是可以在实战中去验证拓展的,相对而言学习起来,比起看书、钻研理论要事半功倍,只有不断的实战,培养自己的思维,才能把技术运用自如。
安全工程师知识路线图 请收藏
所以想要学习网络安全选对正确的学习方法很重要,这可以帮你少走很多弯路。因为在习方法上没有规划好最终的学习路线,否则学了很久还是没有达到自己想要的效果,最简单的道理,人人都懂:理论+技术+实操=优秀!理论是技术的基础,所以理论不是不重要,而是把理论运用到实践中才能体现出技术的高低。
kali渗透理论知识 扫描二维码浏览
请扫描下方二维码 阅读电子书
对于学习来说,有内容引导会比自学要高效的多,自学困难的朋友不妨试试下面这些资料,面向零基础到找工作企业级项目内容,先不用担心跟不上,每个阶段的资料我都配备了对应的练习实战项目,可以在学习完理论知识后,直接去靶场练习(靶场环境在下面),在实践中加深理解并且拓展学习,坚持下来会发现其实学习网络安全非常容易!!想要零基础入门的,或者安全基础进阶的朋友请往下看↓↓↓↓↓
一
基础部分
基础部分需要学习以下内容:
1.网络知识
重点学习OSI、TCP/IP模型,网络协议,网络设备工作原理等内容,其他内容快速通读。
部分网络知识↑
只学理论,没有实践是无法达到事半功倍的,小编给大家找了很多的实战教程,理论+实战,这样你的水平才能够快速提高,渗透起来得心应手。
2.系统及命令
由于目前市面上的Web服务器大多数都运行在Linux系统之上,如果要学习渗透Web系统,必须要对linux系统非常熟悉,常见的操作命令需要学会,学习常见的一小部分的命令,就可以满足我们日常的工作场景,掌握最常用的linux命令功能,基本日常使用没什么问题。
3.Web框架
熟悉web框架的内容,前端HTML,JS等脚本语言了解即可,后端PHP语言重点学习,切记不要按照开发的思路去学习语言,php最低要求会读懂代码即可,当然会写最好,但不是开发,重要的事情说三遍
4.数据库
需要学习SQL语法,Web应用的工作原理,SQL语句拆分和组合,SQL的一些些高级语法可以了解,如果没有时间完全不学也不影响后续学习,毕竟大家不是做数据库DBA,只要了解常用的数据库提取命令即可。
二
Web安全
1.Web渗透
掌握OWASP排名靠前的10余种常见的Web漏洞的原理、利用、防御等知识点,然后配以一定的靶场练习即可。
推荐靶场:CTF.xueshenit.com
一个综合靶场:针对漏洞、权限、数据库、劫持绕后等等。
本实验环境靶机下载地址:
网盘链接接:https://pan.baidu.com/s/1V_2GU52OP7gAbHVgJD8gGA
提取码:nh15
2.安全工具学习
Web渗透阶段还是需要掌握一些必要的工具
主要要掌握的工具和平台:nmap、Nessus、medusa、sqlmap、burp、AWVS、Appscan、shodan、fofa、代理工具ssrs、hydra、airspoof等,以上工具的练习完全可以利用上面的靶场去实战,巩固自己学到的技术知识。
可以去SRC平台渗透真实的站点,看看是否有突破,如果涉及到需要绕过WAF的,需要针对绕WAF专门去学习,姿势也不是特别多,系统性学习学习,然后多总结经验,更上一层楼
4.代码审计
此处内容要求代码能力比较高,因此如果代码能力较弱,可以先跳过此部分的学习,不影响渗透道路上的学习和发展。
但是如果希望在Web渗透上需要走得再远一些,需要精通一门后台开发语言
掌握一些危险函数和安全配置
熟悉代码审计的流程和方法
掌握几个代码审计工具
常见CMS框架审计
审计别人网站或者系统的源代码,通过审计源代码或者代码环境的方式去审计系统是否存在漏洞。
三
内网安全
如果在内网安全上你已经学会了,基本可以找一个网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位
如果想就业面更宽一些,技术竞争更强一些,需要再学习内网渗透相关知识
内网的知识难度稍微偏大一些,这个和目前市面上的学习资料还有靶场有一定的关系
内网主要学习的内容主要有:内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT等等
好了,分享的内容足够研究一年了,理论有了,工具有了,靶场也有了,接下来就去实践,实践是提升技术最快的捷径,也是唯一提升技术的办法,在网络安全行业工作了近10年,我在各种岗位都做过一遍,我就来告诉你,网络安全不难,网络安全入门更简单!
内容获取,回复“渗透资料”
同时领资料的很多,耐心等待一下,都会有的哦!
最后补充一句:只要你认真把我分享的内容和方法学完学透,虽然不能成为大神,但就算你学习能力再差那也能达到入门级别。
理论有了、实战项目有了、靶场也有了,今年有什么理由做不到升值涨薪!愿大家在安全行业更上一层!
感谢这么多年支持我的粉丝们!