如何規(guī)劃學(xué)習(xí)網(wǎng)絡(luò)安全的路線？

時(shí)間：2023-10-18 04:12:02 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-10-18 04:12:02 來(lái)源：網(wǎng)站運(yùn)營(yíng)

如何規(guī)劃學(xué)習(xí)網(wǎng)絡(luò)安全的路線？：網(wǎng)絡(luò)安全是一個(gè)大類，它包含的知識(shí)體系是比較龐雜的，同時(shí)它所屬的職業(yè)體系又是寬泛的，舉例來(lái)說(shuō)，入門(mén)信息安全、安卓安全、二進(jìn)制安全以及新手入門(mén)CTF等等，每一個(gè)具體的職業(yè)體系又有相對(duì)應(yīng)的技能知識(shí)（【i春秋】-專注網(wǎng)絡(luò)安全_信息安全_白帽子的在線學(xué)習(xí)_教育_培訓(xùn)平臺(tái)）。

所以，基于你目前基礎(chǔ)相對(duì)薄弱，可以先從Web安全學(xué)起，課程難度相對(duì)較低，適合新手小白。簡(jiǎn)單做一個(gè)學(xué)習(xí)規(guī)劃：

第一步：Web安全相關(guān)概念

建議學(xué)習(xí)時(shí)間：2周

學(xué)習(xí)內(nèi)容如下：

1、熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。

2、通過(guò)關(guān)鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進(jìn)行Google。

3、閱讀《Web安全深度剖析》，作為入門(mén)學(xué)習(xí)還是可以的。

4、看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過(guò)程，可以Google(滲透筆記、滲透過(guò)程、入侵過(guò)程等)。

第二步：熟悉滲透相關(guān)工具

建議學(xué)習(xí)時(shí)間：3周

學(xué)習(xí)內(nèi)容如下：

1、熟悉AWVS、Sqlmap、Burpsuite、Nessus、China chopper 、Nmap、Appscan等相關(guān)工具的使用。

2、了解該類工具的用途和使用場(chǎng)景。

3、下載無(wú)后門(mén)版的這些軟件進(jìn)行安裝。

4、學(xué)習(xí)并進(jìn)行使用，具體教材可以在網(wǎng)上搜索，例如：Burpsuite的教程、Sqlmap。

5、常用的這幾個(gè)軟件都學(xué)會(huì)后，可以安裝音速啟動(dòng)做一個(gè)滲透工具箱

第三步：滲透實(shí)戰(zhàn)操作

建議學(xué)習(xí)時(shí)間：5周

學(xué)習(xí)內(nèi)容如下：

1、掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。

2、網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字(滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫(kù)備份、Dedecms漏洞利用等等)。

3、自己找站點(diǎn)/搭建測(cè)試環(huán)境進(jìn)行測(cè)試，記住請(qǐng)隱藏好你自己。

4、思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做哪些工作，例如這個(gè)：PTES滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)。

5、研究SQL注入的種類、注入原理、手動(dòng)注入技巧。

6、研究文件上傳的原理，如何進(jìn)行截?cái)?、解析漏洞利用等，參照：上傳攻擊框架?br>
7、研究XSS形成的原理和種類，具體學(xué)習(xí)方法可以Google。

8、研究Windows/Linux提權(quán)的方法和具體使用，可以參考：提權(quán)。

9、可以參考: 開(kāi)源滲透測(cè)試脆弱系統(tǒng)。

第四步：關(guān)注安全圈動(dòng)態(tài)

建議學(xué)習(xí)時(shí)間：1周

學(xué)習(xí)內(nèi)容如下：

1、關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章。

2、瀏覽每日的安全技術(shù)文章/事件。

3、通過(guò)微博、微信關(guān)注安全圈的從業(yè)人員(遇到大牛的關(guān)注或者好友果斷關(guān)注)，天天抽時(shí)間刷一下。

4、通過(guò)feedly/鮮果訂閱國(guó)內(nèi)外安全技術(shù)博客(不要僅限于國(guó)內(nèi)，平時(shí)多注意積累)。

5、養(yǎng)成習(xí)慣，每天主動(dòng)提交安全技術(shù)文章鏈接到i春秋社區(qū)進(jìn)行積淀。

6、多關(guān)注下最新漏洞列表，可以看看hackerone、freebuf、安全客等，遇到公開(kāi)的漏洞都去實(shí)踐下。

7、關(guān)注國(guó)內(nèi)國(guó)際上的安全會(huì)議的議題或者錄像。

8、加入技術(shù)交流群，與群內(nèi)大佬們討教一些經(jīng)驗(yàn)和技巧。

第五步：熟悉Windows/Kali Linux

建議學(xué)習(xí)時(shí)間：3周

學(xué)習(xí)內(nèi)容如下：

1、學(xué)習(xí)Windows/Kali Linux基本命令、常用工具。

2、熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等。

3、熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等。

4、熟悉Kali Linux系統(tǒng)下的常用工具，可以參考《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。

5、熟悉metasploit工具，可以參考《Metasploit滲透測(cè)試指南》。

第六步：中間件和服務(wù)器的安全配置

建議學(xué)習(xí)時(shí)間：3周

學(xué)習(xí)內(nèi)容如下：

1、學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過(guò)思考發(fā)現(xiàn)配置存在的安全問(wèn)題。

2、Windows server2012環(huán)境下的IIS配置，特別注意配置安全和運(yùn)行權(quán)限。

3、Linux環(huán)境下的LAMP的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等。

4、遠(yuǎn)程系統(tǒng)加固，限制用戶名和口令登陸，通過(guò)iptables限制端口；配置軟件Waf加強(qiáng)系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)。

5、通過(guò)Nessus軟件對(duì)配置環(huán)境進(jìn)行安全檢測(cè)，發(fā)現(xiàn)未知安全威脅。

第七步：腳本編程學(xué)習(xí)

建議學(xué)習(xí)時(shí)間：4周

學(xué)習(xí)內(nèi)容如下：

1、選擇腳本語(yǔ)言：Perl/Python/PHP/Go/Java中的一種，對(duì)常用庫(kù)進(jìn)行編程學(xué)習(xí)。

2、搭建開(kāi)發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime。

3、Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語(yǔ)法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫(kù)，推薦《Python核心編程》。

4、用Python編寫(xiě)漏洞的exp，然后寫(xiě)一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)爬蟲(chóng)。

5、PHP基本語(yǔ)法學(xué)習(xí)并書(shū)寫(xiě)一個(gè)簡(jiǎn)單的博客系統(tǒng)，參見(jiàn)《PHP與MySQL程序設(shè)計(jì)(第4版)》、視頻。

6、熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架(可選)。

7、了解Bootstrap的布局或者CSS。

第八步：源碼審計(jì)與漏洞分析

建議學(xué)習(xí)時(shí)間：3周

學(xué)習(xí)內(nèi)容如下：

1、能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問(wèn)題。

2、熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序。

3、了解Web漏洞的形成原因，然后通過(guò)關(guān)鍵字進(jìn)行查找分析。

4、研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

學(xué)習(xí)地址：i春秋官網(wǎng)（系統(tǒng)視頻課程）

第九步：安全體系設(shè)計(jì)與開(kāi)發(fā)

建議學(xué)習(xí)時(shí)間：5周

學(xué)習(xí)內(nèi)容如下：

1、能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。

2、開(kāi)發(fā)一些實(shí)用的安全小工具并開(kāi)源，體現(xiàn)個(gè)人實(shí)力。

3、建立自己的安全體系，對(duì)公司安全有自己的一些認(rèn)識(shí)和見(jiàn)解。

4、提出或者加入大型安全系統(tǒng)的架構(gòu)或者開(kāi)發(fā)。

自學(xué)的話，可以在i春秋官網(wǎng)看一些課程，當(dāng)然除了Web安全課程，還有其他職業(yè)體系的課程，包括信息安全、CTF入門(mén)、安卓安全、二進(jìn)制安全等等。

如果你想要系統(tǒng)學(xué)習(xí)網(wǎng)絡(luò)安全專業(yè)可以了解一下企安殿

擁有超過(guò)220多門(mén)、3000節(jié)的網(wǎng)絡(luò)安全課程，內(nèi)容覆蓋Web安全、移動(dòng)安全、通信安全等25類知識(shí)點(diǎn)。同時(shí)緊盯新的網(wǎng)絡(luò)安全趨勢(shì)、安全熱點(diǎn)問(wèn)題，并通過(guò)課程部迅速響應(yīng)、快速上架時(shí)下最新最熱的網(wǎng)絡(luò)安全學(xué)習(xí)資源，讓用戶學(xué)習(xí)知識(shí)與時(shí)俱進(jìn)。

還配套實(shí)驗(yàn)練習(xí)，提供模擬問(wèn)題重現(xiàn)，在線上實(shí)驗(yàn)室中我們提供實(shí)驗(yàn)手冊(cè)/工具/實(shí)驗(yàn)步驟供學(xué)員參考。讓學(xué)員通過(guò)企安殿的學(xué)習(xí)，更好的了解漏洞的產(chǎn)生以及漏洞的補(bǔ)救措施，掌握企業(yè)修補(bǔ)漏洞實(shí)戰(zhàn)經(jīng)驗(yàn)。

平臺(tái)還提供針對(duì)課程所學(xué)知識(shí)點(diǎn)進(jìn)行隨堂測(cè)驗(yàn)、課程測(cè)驗(yàn)的能力。在學(xué)員觀看并學(xué)習(xí)了視頻課程后，可對(duì)所學(xué)知識(shí)點(diǎn)進(jìn)行鞏固，查漏補(bǔ)缺。