零基础小白如何入门网络安全?
我经常会看到这一类的问题:
-
学习XXX知识没效果;
-
学习XXX技能没方向;
-
学习XXX没办法入门;
给大家一个忠告,如果你完全没有基础的话,前期最好不要盲目去找资料学习,因为大部分人把资料收集好之后,基本上都是放在收藏夹吃灰,同时资料收集的多了,学起来就会迷茫,也会让自己很有压力。
磨刀不误砍柴工,如果你是准备自学的话,要分步骤去进行:
第一步:搭建自学知识框架,具体怎么搭建学习框架,在后面我会讲;
第二步:按照学习框架给自己定制阶段性的学习计划和目标,最好是按周自我反馈和调整;
第三步:针对每周的学习计划寻找合适的自学资源,注意,只找当前需要的,不要贪多
第四步:找几个懂得人,和他们处理好关系,后面学习过程中遇到问题还能有人给你解答;
这些都要一步一步来,不要想着一口气吃成一个大胖子。
搭建学习框架也是有诀窍的,比如我常用的三种方式:
-
和牛人成为朋友,身边的朋友或公司的同事都可以,但要注意,记得请人家吃饭联络好感情,不然到关键时刻,很少有人会去帮你;
-
从各个博客网站上面搜索想了解的知识点路线图,然后找高赞的博文,基本上不会差,但要注意辨别真伪;
-
多找几个培训机构,看他们整理的课程大纲是什么样的,涉及哪些知识点,然后做归类汇总,具体的我就不说了,免得让大家认为我在给培训机构打广告;
学习网络安全方向会遇到哪些问题?
1.打基础的时间长
学基础花费了很长的时间,光学语言都有好几门,有的人会止步于学习linux系统及命令的路上,更多的人会停在学习语言上面;
2.知识点掌握的不够清楚
对于网络安全基础内容,很多人不清楚到底需要学到什么程度,导致在基础上花费了太多的时间;很多同学,买了HTML,PHP,数据库,计算机网络
等书籍,每本还很厚,很多写得也很深,却发现越学越没自信,别人学个PHP或者数据库就可以找到工作,而网络安全要学这么多,越来越怀疑自己到底是不是选错了方向;
3.知识点不清楚重点
很多同学花费了很大精力学完了基础内容,但是发现很多知识和后续网络安全关联不大,没有分清重点,浪费了很多的时间;
4.知识点学习不够系统
看到很多同学在b站找了好多学习视频,也到别的平台购买了一些小课,百度云盘上也有1-2T的学习资料和视频内容,但每学完一类都需要花费不少的时间,且内容很多有重复性,学完SQL注入后,后面又看到另一家讲这个SQL注入,还不错,又会去学习一遍,发现学完所有web漏洞原理后,自己还是不太确定自己是否把Web漏洞这块的知识点学全了没有,导致自己到底学没学完都不知道;
5.自己解决问题的能力不足
对于初学者来说,很多人都会自己搭建一些靶场,但是由于配置环境的原因,耽误的时间会很多,尤其对于初学者碰到连续3个问题无法解决的时候,很容易放弃;对于一些动手能力较差的同学,这块可能会直接影响到继续学习的信心;
6.实战水平不足
对于学网络安全,渗透测试方向的技术,其实很大程度上学习的就是“黑客”技术,通过学习怎么进攻和入侵,才能够更清楚系统和应用怎么去防御;而这块也恰恰是网络安全的核心,如果光有理论,实战经验少,也是较难去就业;在平时学习中,除了可以搭建一些开源的靶场用于练习,最好还是要有真实漏洞组成的靶场用于学习,当然也可以去SRC平台去渗透测试一些真实网站(一定要获得授权才可以渗透真实网站),但是难度发现又比较大,很多初学者会丧失信心,怀疑自己的能力;
7.内网的学习困难比较大
Web渗透这块的资料在互联网各各平台到处都是,学习起来相对较为轻松,但是内网这块的资料在互联网平台上面相对较少,能够借鉴的资料不多,另外也需要有相应的靶场配合练习,才能有技术上的提高和经验的积累,学习难度会比较大。
废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。
【一>所有资源获取,点击这里<一】
1、很多已经买不到的绝版电子书
2、安全大厂内部的培训资料
3、全套工具包
4、100份src源码技术文档
5、网络安全基础入门、Linux、web安全、攻防方面的视频
6、应急响应笔记 7、 网络安全学习路线
8、ctf夺旗赛解析
9、WEB安全入门笔记
我们落到具体的技术点上来,网络安全学习路线,整体学习时间大概半年左右,具体视每个人的情况而定。
如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了2个月,入不了门这种感受。
1、Web安全相关概念(2周)
-
熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等);
-
通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;
-
阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;
-
看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);
2、熟悉渗透相关工具(3周)
-
熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用;
-
了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;
-
下载无后门版的这些软件进行安装;
-
学习并进行使用,具体教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;
-
待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;
3、渗透实战操作(5周)
掌握渗透的整个阶段并能够独立渗透小型站点。 网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等);
-
自己找站点/搭建测试环境进行测试,记住请隐藏好你自己;
-
思考渗透主要分为几个阶段,每个阶段需要做那些工作;
-
研究SQL注入的种类、注入原理、手动注入技巧;
-
研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等;
-
研究XSS形成的原理和种类,具体学习方法可以Google/SecWiki;
-
研究Windows/Linux提权的方法和具体使用;
4、关注安全圈动态(1周)
-
关注安全圈的最新漏洞、安全事件与技术文章;
-
通过SecWiki浏览每日的安全技术文章/事件;
-
通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下;
-
通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累),没有订阅源的可以看一下SecWiki的聚合栏目;
-
养成习惯,每天主动提交安全技术文章链接到SecWiki进行积淀;
-
多关注下最新漏洞列表,推荐几个:exploit-db、CVE中文库、Wooyun等,遇到公开的漏洞都去实践下。
-
关注国内国际上的安全会议的议题或者录像,推荐SecWiki-Conference;
5、熟悉Windows/Kali Linux(3周)
-
学习Windows/Kali Linux基本命令、常用工具;
-
熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill
-
等;
-
熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;
-
熟悉Kali Linux系统下的常用工具,可以参考SecWiki《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
-
熟悉metasploit工具,可以参考SecWiki、《Metasploit渗透测试指南》;
6、服务器安全配置(3周)
-
学习服务器环境配置,并能通过思考发现配置存在的安全问题;
-
Windows2003/2008环境下的IIS配置,特别注意配置安全和运行权限,;
-
Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等;
-
远程系统加固,限制用户名和口令登陆,通过iptables限制端口;
-
配置软件Waf加强系统安全,在服务器配置mod_security等系统;
-
通过Nessus软件对配置环境进行安全检测,发现未知安全威胁;
7、脚本编程学习(4周)
-
选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习;
-
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
-
Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》,不要看完;
-
用Python编写漏洞的exp,然后写一个简单的网络爬虫;
-
PHP基本语法学习并书写一个简单的博客系统,参见《PHP与MySQL程序设计(第4版)》、视频;
-
熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选);
-
了解Bootstrap的布局或者CSS;
8、源码审计与漏洞分析(3周)
-
能独立分析脚本源码程序并发现安全问题。
-
熟悉源码审计的动态和静态方法,并知道如何去分析程序;
-
从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析;
-
了解Web漏洞的形成原因,然后通过关键字进行查找分析;
-
研究Web漏洞形成原理和如何从源码层面避免该类漏洞,并整理成checklist。
9、安全体系设计与开发(5周)
-
能建立自己的安全体系,并能提出一些安全建议或者系统架构。
-
开发一些实用的安全小工具并开源,体现个人实力;
-
建立自己的安全体系,对公司安全有自己的一些认识和见解;
-
提出或者加入大型安全系统的架构或者开发;
这个路线图已经详细到每周要学什么内容,学到什么程度,可以说我整理的这个网络安全路线图对新人是非常友好的,除此之外,我还给团队小伙伴整理了相对应的学习资料,需要的小伙伴可以留言。
相关文章:
零基础小白如何入门网络安全?
我经常会看到这一类的问题: 学习XXX知识没效果; 学习XXX技能没方向; 学习XXX没办法入门; 给大家一个忠告,如果你完全没有基础的话,前期最好不要盲目去找资料学习,因为大部分人把资料收集好之…...
【前缀和】
前缀和前缀和子矩阵的和结语前缀和 输入一个长度为 n的整数序列。 接下来再输入 m 个询问,每个询问输入一对 l,r 对于每个询问,输出原序列中从第 l 个数到第 r个数的和。 输入格式第一行包含两个整数 n和 m 第二行包含 n个整数,表示整数…...
ChatGPT可以做WebRTC音视频质量性能优化,惊艳到我了
摘要 随着GPT-4的发布,AI的风越吹越旺。GPT-4可以回答问题,可以写作,甚至可以基于一张草图生成html代码搭建一个网站。即构社区的一位开发者倪同学就基于目前在研究的WebRTC QOS技术点对GPT-3.5跟GPT-4进行一场实验,ChatGPT会取代…...
MySQL数据库实现主从同步
安装MySQL数据库8.0.32 前言 今天来学习数据库主从同步的原理及过程,数据库主要是用来存储WEB数据,在企业当中是极为重要的,下面一起来看下。 1.1 数据库做主从的目的 MySQL主从复制在中小企业,大型企业中广泛使用,…...
go语言gin框架学习
让框架去做http解包封包等,让我们的精力用在应用层开发 MVC模式 M: model,操作数据库gorm view 视图 处理模板页面 contoller 控制器 路由 逻辑函数 解决gin相关代码飘红的问题 记得启用gomodule go env -w GO111MODULEon然后到相应目录下执行 go mod i…...
Java奠基】Java经典案例讲解
目录 卖飞机票 找质数 开发验证码 数组元素的复制 评委打分 数字加密 数字解密 抢红包 模拟双色球 二维数组 卖飞机票 需求:机票价格按照淡季旺季、头等舱和经济舱收费、输入机票原价、月份和头等舱或经济舱。按照如下规则计算机票价格: 旺季&…...
新闻文本分类任务:使用Transformer实现
❤️觉得内容不错的话,欢迎点赞收藏加关注😊😊😊,后续会继续输入更多优质内容❤️👉有问题欢迎大家加关注私戳或者评论(包括但不限于NLP算法相关,linux学习相关,读研读博…...
如何在 Vue 中使用 防抖 和 节流
大厂面试题分享 面试题库前后端面试题库 (面试必备) 推荐:★★★★★地址:前端面试题库 https://mp.weixin.qq.com/s?__bizMzU5NzA0NzQyNg&mid2247485824&idx3&sn70cd26a7c0c683de64802f6cb9835003&scene21#wech…...
美国Linux服务器系统增强安全的配置
美国Linux服务器系统可能出现的安全漏洞中,更多是由于不当的系统配置所造成的,用户们可以通过一些适当的安全配置来防止问题的发生。美国Linux服务器系统上运行的服务越多,不当配置的概率也就越高,那么系统出现安全问题的可能性也…...
【史上最全面esp32教程】oled显示篇
文章目录前言介绍及库下载基础使用引脚的连接使用函数总结前言 本节课主要讲的是OLED的基础使用。使用的oled为0.96寸,128*64。 大家的其他型号也是可以用的。 提示:以下是本篇文章正文内容,下面案例可供参考 介绍及库下载 oled的简介&…...
第十四届蓝桥杯三月真题刷题训练——第 21 天
目录 第 1 题:灭鼠先锋 问题描述 运行限制 代码: 思路: 第 2 题:小蓝与钥匙 问题描述 答案提交 运行限制 代码: 思路 : 第 3 题:李白打酒加强版 第 4 题:机房 第 1 题࿱…...
css绘制一个Pinia小菠萝
效果如下: pinia小菠萝分为头部和身体,头部三片叶子,菠萝为身体 头部 先绘制头部的盒子,将三片叶子至于头部盒子中 先绘制中间的叶子,利用border-radius实现叶子的效果,可以借助工具来快速实现圆角的预想…...
OpenCV入门(二十)快速学会OpenCV 19 对象测量
OpenCV入门(二十)快速学会OpenCV 19 对象测量1.对象测量2.多边形拟合3.计算对象中心作者:Xiou 1.对象测量 opencv 中对象测量包括: 如面积,周长,质心,边界框等。 弧长与面积测量; …...
TCP和UDP协议的区别?
是否面向连接: TCP 是面向连接的传输,UDP 是面向无连接的传输。 是否是可靠传输:TCP是可靠的传输服务,在传递数据之前,会有三次握手来建立连接;在数据传递时,有确认、窗口、重传、拥塞控制机制…...
【C语言蓝桥杯每日一题】——排序
【C语言蓝桥杯每日一题】—— 排序😎前言🙌排序🙌总结撒花💞😎博客昵称:博客小梦 😊最喜欢的座右铭:全神贯注的上吧!!! 😊作者简介&am…...
学校官网的制作
学校官网 代码 <!DOCTYPE html> <html><head><meta charset"utf-8"><title></title><style>*{margin: 0;padding: 0;}.top{background-color: #3D3BB8;width: 100%;position: fixed;padding: 20px 0 12px 0;}.box{width…...
【云原生】k8s集群命令行工具kubectl之故障排除和调试命令
kubectl之故障排除和调试命令一、describe二、logs三、attach四、exec五、port-forward六、proxy七、cp八、debug8.1、案例1:共享进程空间8.2、案例2:更改启动命令、容器镜像8.3、案例3:调试节点8.4、其他一、describe 显示某个资源或某组资…...
AJAX,Axios,JSON简单了解
一. AJAX简介概念: AJAX(Asynchronous JavaScript And XML): 异步的JavaScript 和XMLAJAX作用:1.与服务器进行数据交换: 通过AJAX可以给服务器发送请求,并获取服务器响应的数据使用了AJAX和服务器进行通信,就可以使用 HTMLAJAX来替换JSP页面了2.异步交互…...
私域流量该如何打造?这套模式直接借鉴
梦龙商业案例分析,带你了解商业背后的秘密 古往今来,消费方与购买方的地位似乎就没有变过,消费者始终是处在被动接受的地位。 但到了现在,其实消费地位早已经不知不觉产生了改变。 就比如以前都是厂家有什么消费者买什么&#…...
【jenkins部署】一文弄懂自动打包部署(前后台)
这里写目录标题序言软件安装jdkmaven配置maven阿里镜像以及本地库位置git安装安装jenkins插件安装环境配置创建项目配置gitee生成gitee WebHookmaven打包验证是否打包成功连接远程服务器并重启服务远程服务器生成私钥配置ssh项目配置ssh脚本vue项目打包nodejs安装下载配置环境变…...
应届生投腾讯,被面试官问了8个和 ThreadLocal 相关的问题。
问:谈一谈ThreadLocal的结构。 ThreadLocal内部维护了一个ThreadLocalMap静态内部类,ThreadLocalMap中又维护了一个Entry静态内部类,和Entry数组。 Entry类继承弱引用类WeakReference,Entry类有一个有参构造函数,参数…...
Linux命令scp用法
本文主要讲的是scp用法如果哪里不对欢迎指出,主页https://blog.csdn.net/qq_57785602?typeblogscp 可以在win系统使用,本文百分之八十写的是win系统怎么使用,在本地上到服务器文件,从服务器下载文件到本地用工具连接到公司服务器时ÿ…...
数据质量怎么监控
目录 一、任务基线级别 二、任务级别 & 表级别 三、字段级别 1. 对指标字段的监控 2. 对维度字段的监控 四、报表级别监控 五、总结 跑了几场面试,数据质量怎么监控是经常被问到的问题,仅次于自我介绍。 因为数据行业发展了几年,数…...
.NET Core 实现Excel的导入导出
.NET Core 使用NPOI实现Excel的导入导出前言NPOI简介一、安装相对应的程序包1.1、在 “管理NuGet程序包” 中的浏览搜索:“NPOI”二、新建Excel帮助类三、调用3.1、增加一个“keywords”模型类,用作导出3.2、添加一个控制器3.3、编写导入导出的控制器代码…...
排好队,一个一个来:宫本武藏教你学队列(附各种队列源码)
文章目录前言:理解“队列”的正确姿势一个关于队列的小思考——请求处理队列的两大“护法”————顺序队列和链式队列数组实现的队列链表实现的队列循环队列关于开篇,你明白了吗?最后说一句前言: 哈喽!欢迎来到黑洞晓…...
C语言--动态内存管理1
目录前言动态内存函数介绍mallocfreecallocrealloc常见的动态内存错误对NULL指针的解引用操作对动态开辟空间的越界访问对非动态开辟内存使用free释放使用free释放一块动态开辟内存的一部分对同一块动态内存多次释放动态开辟内存忘记释放(内存泄漏)对通讯…...
HTTPS 的工作原理
1、客户端发起 HTTPS 请求 这个没什么好说的,就是用户在浏览器里输入一个 https 网址,然后连接到 server 的 443 端口。 2、服务端的配置 采用 HTTPS 协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请…...
游戏开发中建议使用半兰伯特光照
游戏开发中建议使用半兰伯特光照模型 在基本光照模型中求出漫反射部分的计算公式: 漫反射 = 入射光线的颜色和强度(c light) * 材质漫反射系数 (m diffuse)* 表面法线(n) * 其光源防线 (I) 在shader中为了不让 n和i的点乘结果为负数,即使用了saturate函数让值截取在[0,1]区…...
JavaScript到底如何存储数据?
1.var的迷幻操作 普遍的观点:JavaScript中的基本数据类型是保存在栈空间,而引用数据类型则是保存在堆空间里, 是否正确? 浏览器环境下JavaScript变量类型的运行实践结果: var a 10;console.log(a);console.log(window.a); console.log(wind…...
python实战应用讲解-【numpy专题篇】numpy应用案例(一)(附python示例代码)
目录 用Python分析二手车的销售价格 用Python构建GUI应用的铅笔草图 需要的包 实现步骤 完整代码 用Python分析二手车的销售价格 如今,随着技术的进步,像机器学习等技术正在许多组织中得到大规模的应用。这些模型通常与一组预定义的数据点一起工作…...
做网站的销售员电话话术/应用商店app下载
intro为什么需要link呢linker主要做了哪些工作呢目标文件ELF Symbol Link链接器变量Symbol ResolutionLocal SymbolLinker Symbol Rule Relocation Packaging Libstatic libariesDynamic liblib interpositioning 转载请注明出处:http://blog.csdn.net/c602273091/…...
坪洲网站建设/网站域名综合查询
记录2021919的一个关于企业对数据人才的能力需求的讲座: 算法面试重点考察: 1、反向传播手推 2、CNN公式(核心部分) why ? 3、python ok 会问C 4、重点关注工程能力,包括语法、 设计模式(…...
莱州网站开发/app拉新推广
php中$_FIELS函数在php中上传一个文件建一个表单要比ASP中灵活的多。具体的看代码。然后upload.php中可以直接用$_FIELS,$_POST,$_GET等函数获取表单内容。当客户端提交后,我们获得了一个$_FILES数组$_FILES数组内容如下:$_FILES[‘myFile’][‘name’]:…...
公司做了网站怎么做推广/查权重工具
selenium安装 winR,输入cmd,进入命令行,然后输入 pip install seleniumwebdriver的配置 这里我们安装chrome的webdriver使用 首先查看你的谷歌浏览器的版本chrome://version/ 例如: 然后参照版本,我们下载对应的谷…...
做网站后台系统的规范/宁波seo外包费用
182. 删除数字 给出一个字符串 A, 表示一个 n 位正整数, 删除其中 k 位数字, 使得剩余的数字仍然按照原来的顺序排列产生一个新的正整数。 找到删除 k 个数字之后的最小正整数。 N < 240, k < N 样例给出一个字符串代表的正整数 A 和一个整数 k, 其中 A 178542, k 4 返…...
建设企业营销型网站/成都seo顾问
数据库连接池 概念:数据库连接池就是一个容器(集合),存放数据库连接的容器。 当系统初始化后,容器被创建,容器中会申请一些连接对象,当用户来访问数据库时,从容器中获取连接对象&am…...