作为从接触网络安全的小白,谈谈零基础如何入门网络安全,有不对的地方,请多多指教。
这些年最后悔的事情莫过于没有把自己学习的东西积累下来形成一个知识体系。
后续我也会陆续的整理网络安全的相关学习资料及文章,与大家一起探讨学习。
如何入门
简单了解网络安全网络安全就是指的确保网络系统中的数据不被别人破坏,而网安工程师就是涉及程序来维护网络安全。
网安方向有很多职位,比如安全产品工程师,安全分析师,数据恢复工程师,网络架构工程师,安全编程工程师,以及网络集成工程师等。
工作内容主要包括: 安全评测,风险评估,安全服务,防火墙,入侵检测,渗透测试,云防护,系统防护,代码审计等
2. 入门路线
了解电脑知识
这个够基础了吧,包括windwos基础,Linux基础,标记语言,代码js基础,网络基础,数据库及虚拟机使用等
可以简单的学会抓包,知道抓到的包在说什么。
入手web安全
web架构,web优化及安全防护,学点Python能看懂代码,网站开发也可以学习一些,这里的都是一些基础,不用太深入。
其次想要进入web安全领域,还要学会web渗透,OWASP top 10 等常见的web漏洞原理及利用方式,包括SQL注入,XSS攻击,webshell木马编写,提权,命令执行等。
熟悉基本的概念: SQL 注入,上传,XSS,CSRF,一句话木马等
推荐书籍《 精通脚本黑客》,很老的书了,而且也有一些错误,但是对于入门来说足够。
到这里你就算基本上入门了。
后续学习
攻防演练,等保测评,风险评估,这些都是在你入门后学习的。
熟悉渗透相关的工具:
AWVS ,sqlmap.Burp,nessus,chopper,namp,Appscan 等工具
具体教材可以在SecWiki上搜索。
广义上说,你作为一个网络安全师需要学习的内容如下:
通信协议:TCP、HTTP、HTTPs操作系统:Linux、Windows服务架设:Apache、Nginx、LAMP、LNMP、MVC架构数据库:MySQL、SQL Server、Oracle编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)
但我们通常学习20%的核心内容来完成80%的工作,所以压缩一下:
安全理论:OWASP TOP 10 、PETS、ISO 27001后端安全:SQL注入、文件上传、Webshell(木马)、文件包含、命令执前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造…安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web入侵防御)、Web主机防护
可以看一个招聘需求:
推荐:CTF
CTF有两点:
接近实战的机会。现在网络安全法很严格,不像之前大家能瞎搞题目紧跟技术前沿,而书籍很多落后了。
如果你想打CTF比赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料。
书单推荐:
计算机操作系统:
编码:隐藏在计算机软硬件背后的语言深入理解操作系统深入理解windows操作系统Linux内核与实现
编程开发类:
windows程序设计windwos核心变成Linux程序设计unix环境高级变成IOS变成第一行代码AndroidC程序语言设计C primer plusC和指针C专家编程C陷阱与缺陷汇编语言(王爽)java核心技术java编程思想Python核心编程Linuxshell脚本攻略算法导论编译原理编译与反编译技术实战代码整洁之道代码大全TCP/IP详解Rootkit : 系统灰色地带的潜伏者黑客攻防技术宝典加密与解密C++ 反汇编与逆向分析技术揭秘web安全测试白帽子讲web安全精通脚本黑客web 前端黑客技术揭秘程序员的应用英语写作手册:风格的要素
常见的网络安全及论坛
看雪论坛安全课安全牛安全内参绿盟先知社区XCTF联盟总结
网络安全任重而道远,我自己自学安全已经四年有余,依然感觉不算入门,技术这东西,真的是越学越觉得自己不知道的越多。