上次发的文章,很多小伙伴在评论区回复说还是很迷糊,我也反思了一下,确实没写到网络安全具体内容,所以这一期就出一一个网络安全具体学哪些内容,告诉大家网络安全好学吗?
首先,网络安全好学吗?
回答是:好学。但是很看天赋,看基础,看领路人。
网络安全具体学哪些内容?网络安全好学吗?
一般说来,学习网络安全方向通常会有哪些问题呢?
1、打基础就耗时间太久
很多人没怎么接触过计算机,在学习linux系统及命令的路上就懵了
2、纠结于知识点的掌握程度
对于网络安全基础内容,很多人不清楚到底学到那一步就点到为止,究竟是需要学到什么程度?其实当然是越深越好,但是不要急于求成,那样只会囫囵吞枣,并且导致在基础上花费太多;千万不要迷失了自己,很多小伙伴看到别人随便学个PHP就上班去了,看到网络安全的繁琐,人都麻了,再一次的认为自己选错了。
3、知识点分不清重点
基础内容只是为了牢固,其实很多与后续网络安全关联不是特别的大,一定要搞清楚重点,不然就是捡了芝麻丢了西瓜。
4、知识点学习不系统
我知道很多的小伙伴,学习网络安全无非就是在网上疯狂找免费的课程,要么就是在某宝买书籍,这样学习没有错,但是导致学习的东西系统化,完全就联系不起来,达不到系统深入。
5、遇到问题半懂将就
对于初学者来说,会遇到一些搞不定的东西,但是为了赶进度囫囵吞枣,导致后面学习起来越发的困难呢,这就好比高中时的高数,搞不懂又不去问,后面的问题更加的迷茫懵懂,整个人都崩溃了,直接影响到继续学习的信心;
6、基本上没有实战水平
对于学网络安全,渗透测试方向的技术,其实很大程度上学习的就是“黑客”技术,通过学习怎么进攻和入侵,才能够更清楚系统和应用怎么去防御;而这块也恰恰是网络安全的核心,如果光有理论,实战经验少,那就好比是纸上谈兵,导致就业的困难重重。
我们先来看看网络安全具体学哪些内容呢?再来系统的给自己定目标和方向
提供一份网络安全入门学习大纲参考:
一、相关基础
网络安全导论、系统基础、基础运维、WEB基础、PHP入门、MYSQL
二、信息收集
CDN、CMS、架构、搭建、WAF
三、WEB漏洞
虚拟化技术、SQL注入的渗透与防御、XSS相关渗透与防御、上传验证渗透与防御
四、漏洞发现
操作系统之漏洞探针类型利用、漏洞扫描工具、漏洞类型区分讲解权限提升远程执行、漏洞利用框架Metasploit,Searchsploit、WEB应用之漏洞探针类型利用、API接口服务之漏洞探针类型利用
五、WAF绕过
反爬虫延时代理池、Safedog、Aliyun_os、BT默认拦截机制分析绕过、代理池指纹被动探针、绕过代理池Proxy_pool项止搭建。
六、权限提升
基于WEB环境下的权限提升、系统溢出漏洞、数据库应用提权在权限提升中的意义、WEB或本地环境如何探针数据库应用、数据库提权权限用户密码收集等方法、目前数据库提权对应的技术及方法等。
七、内网安全
信息收集、探针主机域控架构服务、横向移动渗透明文传递、横向渗透明文HASH传递、域横向移动服务利用、域横向HASH利用、域横向CobaltStrike.
八、应急响应
常见的WEB安全攻击技术、相关日志启用及存储、日志中记录数据分类及分析、操作系统应急响应、攻击响应暴力破解、控制响应-后门木马、危害响应病毒感染、自动化响应检测Gscan多重功能脚本测试、应用分析数据库爆破注入等操作、自动化应急响应取证工具箱。
九、安全开发
Python入门、Python批量Fofa、PythonPOC验证。
十、红蓝对抗
AWD模式赛制、部署WAF、代码审计、文件监控、扫描后门、流量临控、权限维持。
网络安全隐患的危害已经不仅仅涉及线上网络空间,国家安全、国防安全、关键基础设施安全、社会安全、家族安全,乃至人身安全都将受到威胁。网络安全已经从信息安全时代进入了大安全时代,在大安全时代中,网络攻击将从更多维度不断带来新的威胁与挑战。
学习网络安全怎么去学习最好?
首先,先学习编程,然后学习Web渗透及工具使用等
适用人群:有一定的代码基础的小伙伴
基础部分需要学习以下内容:
计算机网络:重点学习OSI、TCP/IP模型,网络协议,网络设备工作原理等内容,其他内容快速通读;
Linux系统及命令:由于目前市面上的Web服务器7成都是运行在Linux系统之上,如果要学习渗透Web系统,最起码还是要对linux系统非常熟悉,常见的操作命令需要学会;
Web框架:
数据库:
Web安全
Web渗透
网络安全工具学习
主要要掌握的工具和平台:AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了。
自动化渗透
自动化渗透需要掌握一门语言,且需要熟练运用,可以是任何一门自己已经掌握得很熟悉得语言,都可以,如果没有一门掌握很好的,那我推荐学习python,最主要原因是学起来简单,模块也比较多,写一些脚本和工具非常方便;
代码审计
代码审计顾名思义,审计别人网站或者系统的源代码,通过审计源代码或者代码环境的方式去审计系统是否存在漏洞(属于白盒测试范畴);
需要掌握php一些危险函数和安全配置;
熟悉代码审计的流程和方法;
掌握1-2个代码审计工具,如seay等;
掌握常见的功能审计法;
常见CMS框架审计
渗透拓展
渗透拓展部分,和具体工作岗位联系也比较紧密,尽量要求掌握,主要有日志分析、安全加固、应急响应、等保测评等内容。
总的来说,学习网络安全想要系统的学习,建议选择一个培训机构学习
这样可以让那些需要体系化学习、增强实战能力、转行和快速就业的小伙伴立马得到提升