网络安全所有用到的技术“做过的实战项目-内网实战靶场环境-渗透工具”还有很多的渗透思维图谱!全部附上
2022-2-21 10:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:19 收藏

在大多数的思维里总觉得学习网络安全得先收集资料、学习编程、学习计算机基础,自学那么久,看了那么多视频,还是挖不到漏洞,无法拿出自己最得意的作品。

我整理了以前很多收藏过的储备内容,就算给大家一个新的礼物,虽然不够奢华,但它朴实又散发着光华。

网络安全是一门技术,任何技术的学习一定是以实践为主的。很多的理论知识其实是可以在实战中去验证拓展的,相对而言学习起来,比起看书、钻研理论要事半功倍,只有不断的实战,培养自己的思维,才能把技术运用自如。

安全工程师知识路线图 请收藏

所以想要学习网络安全选对正确的学习方法很重要,这可以帮你少走很多弯路。因为在习方法上没有规划好最终的学习路线,否则学了很久还是没有达到自己想要的效果,最简单的道理,人人都懂:理论+技术+实操=优秀!理论是技术的基础,所以理论不是不重要,而是把理论运用到实践中才能体现出技术的高低。

kali渗透理论知识 扫描二维码浏览

请扫描下方二维码 阅读电子书

对于学习来说,有内容引导会比自学要高效的多,自学困难的朋友不妨试试下面这些资料,面向零基础到找工作企业级项目内容,先不用担心跟不上,每个阶段的资料我都配备了对应的练习实战项目,可以在学习完理论知识后,直接去靶场练习(靶场环境在下面),在实践中加深理解并且拓展学习,坚持下来会发现其实学习网络安全非常容易!!想要零基础入门的,或者安全基础进阶的朋友请往下看↓↓↓↓↓

基础部分

基础部分需要学习以下内容:

1.网络知识 

重点学习OSI、TCP/IP模型,网络协议,网络设备工作原理等内容,其他内容快速通读。

部分网络知识↑

只学理论,没有实践是无法达到事半功倍的,小编给大家找了很多的实战教程,理论+实战,这样你的水平才能够快速提高,渗透起来得心应手。

2.系统及命令

由于目前市面上的Web服务器大多数都运行在Linux系统之上,如果要学习渗透Web系统,必须要对linux系统非常熟悉,常见的操作命令需要学会,学习常见的一小部分的命令,就可以满足我们日常的工作场景,掌握最常用的linux命令功能,基本日常使用没什么问题。

3.Web框架

熟悉web框架的内容,前端HTML,JS等脚本语言了解即可,后端PHP语言重点学习,切记不要按照开发的思路去学习语言,php最低要求会读懂代码即可,当然会写最好,但不是开发,重要的事情说三遍

4.数据库

需要学习SQL语法,Web应用的工作原理,SQL语句拆分和组合,SQL的一些些高级语法可以了解,如果没有时间完全不学也不影响后续学习,毕竟大家不是做数据库DBA,只要了解常用的数据库提取命令即可。

Web安全

1.Web渗透

掌握OWASP排名靠前的10余种常见的Web漏洞的原理、利用、防御等知识点,然后配以一定的靶场练习即可。

推荐靶场:CTF.xueshenit.com

一个综合靶场:针对漏洞、权限、数据库、劫持绕后等等。

本实验环境靶机下载地址:

网盘链接接:https://pan.baidu.com/s/1V_2GU52OP7gAbHVgJD8gGA

提取码:nh15

2.安全工具学习

Web渗透阶段还是需要掌握一些必要的工具

主要要掌握的工具和平台:nmap、Nessus、medusa、sqlmap、burp、AWVS、Appscan、shodan、fofa、代理工具ssrs、hydra、airspoof等,以上工具的练习完全可以利用上面的靶场去实战,巩固自己学到的技术知识。

可以去SRC平台渗透真实的站点,看看是否有突破,如果涉及到需要绕过WAF的,需要针对绕WAF专门去学习,姿势也不是特别多,系统性学习学习,然后多总结经验,更上一层楼

4.代码审计

此处内容要求代码能力比较高,因此如果代码能力较弱,可以先跳过此部分的学习,不影响渗透道路上的学习和发展。

但是如果希望在Web渗透上需要走得再远一些,需要精通一门后台开发语言

掌握一些危险函数和安全配置

熟悉代码审计的流程和方法

掌握几个代码审计工具

常见CMS框架审计

审计别人网站或者系统的源代码,通过审计源代码或者代码环境的方式去审计系统是否存在漏洞。

内网安全

如果在内网安全上你已经学会了,基本可以找一个网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位

如果想就业面更宽一些,技术竞争更强一些,需要再学习内网渗透相关知识

内网的知识难度稍微偏大一些,这个和目前市面上的学习资料还有靶场有一定的关系

内网主要学习的内容主要有:内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT等等

好了,分享的内容足够研究一年了,理论有了,工具有了,靶场也有了,接下来就去实践,实践是提升技术最快的捷径,也是唯一提升技术的办法,在网络安全行业工作了近10年,我在各种岗位都做过一遍,我就来告诉你,网络安全不难,网络安全入门更简单!

内容获取,回复“渗透资料”

同时领资料的很多,耐心等待一下,都会有的哦!

最后补充一句:只要你认真把我分享的内容和方法学完学透,虽然不能成为大神,但就算你学习能力再差那也能达到入门级别。

理论有了、实战项目有了、靶场也有了,今年有什么理由做不到升值涨薪!愿大家在安全行业更上一层!

感谢这么多年支持我的粉丝们!


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247496953&idx=1&sn=fb8981d0ea081675584500f1e7e7a560&chksm=ec1dc4d1db6a4dc7392a36cde2d3c0f6f6bded342475bb4b905e30c426f65b2376cecb1784c3#rd
如有侵权请联系:admin#unsafe.sh