经常有小伙伴在后台留言,问如何才能学好网络安全。比如有小伙伴说,听人说可以先学网页基础,但是自己学了html、CSS,感觉跟网络安全挨不着边,不知道如何入手学习。
其实,网络安全没有大家想的那么神秘,不要被他的名字唬住,网络安全说难其实也不难。
要想学好网络安全,我们要解决2个方面的问题:学习路线和学习资料。
首先,我们来说说学习路线。
为什么说学习路线很重要呢?在我们想要学习某个技术时,一定要清楚自己的目标是什么,更何况我们是想学完之后能够从事网络安全方面的工作,找到一份高薪的工作。那么,学习我们就要看现在高薪的网络安全工作对个人有哪些要求,然后根据他们的要求来学习。这也是国信安一直以来告诉学员的“以就业为导向”的学习方法。
只有自己清楚了企业需要什么,自己的学习目标,以及阶段的任务,每个阶段的重点、难点知识。哪些需要重点攻克,哪些需要学扎实,哪些只需要了解,只有这样有自己的小目标,学习起来才会更轻松,能不断增强自己的学习信心,才有持续的动力进行学习。
那有同学可能会说,专业的学习路线图,这个从哪里去搞啊,自己在网上搜了很多也没有个可以参考的,或者拿着不知道是否是已经过时的,正确的学习路线。这里的话给大家一个福利,我花了很久的时间整理了一套网络安全的学习路线图。有兴趣想学习的同学可以参考下这套网络安全学习路线图,这个学习路线图主要是偏向于渗透方向的。
为什么这里要分享渗透方向的网络安全学习路线图呢?因为作为零基础入门或者转行的同学,以及相关专业同学来讲,渗透方向是进入网络安全这个行业比较友好的方向,相对其他网络开发、二进制这些来讲,学习成本更低,出来可以选择的就业岗位需求也更多。
第一阶段:安全基础
这一阶段需要能够部署网站,熟练操作Linux计算机系统;能够进行抓包改包;了解网站架构及各组件作用和特性;理解请求及响应过程各组件的作用机制;理解HTTP报文组成元素及其作用;能够编写简单的动态PHP网站应用、能够看懂PHP应用源码等。重点学习以下内容:
- 网络安全行业与法规
- Linux操作系统
- 计算机网络
- HTML基础
- PHP基础
- MySQL基础
- Python基础到实战
第二阶段:渗透测试
要求掌握各类型漏洞原理、危害、发现、利用手工、利用工具、修复及部分绕过思路,能够独立从事基础渗透测试工作。会用现有多套靶场,能自己搭建靶场。
- 信息收集
- Web安全
- 操作系统漏洞
- APP小程序渗透
- 云安全实战
- WAF绕过
- 渗透工具
- 漏洞复现
- 挖洞实战
第三阶段:渗透测试进阶
要求能够独立开展php应用代码审计找出漏洞;能够通过编写自动化工具检测和利用漏洞;了解内网渗透目的;掌握内网信息搜集命令;理解域渗透思路;了解Windows认证机制;能够使用攻击框架开展内网渗透工作等。主要学习内容有:
- 渗透框架
- 权限提升
- 权限维持
- 隧道技术
- 内网渗透
- 社会工程学
- 取证溯源
- 无线安全
- DDoS攻防
- APP渗透
- 常见安全设备介绍
- 安全开发Exp、POC
第四阶段:安全防护
能够快速上手应急响应全流程技术作业;事前预防;安检及加固;事中响应:攻击排查及溯源;事后:提供整改建议。能够以等保2.0为参考,帮助用户建立从管理到技术的安全防护体系。主要学习内容:
- Windows逆向
- Android逆向
- 免杀-反杀毒技术
- Java代码审计
- PHP代码审计
- 等级2.0
- 风险评估
- 应急响应
- 数据安全
- ISO27001
- 威胁建模ATT&CK
后问题又来了:你就跟我说该怎么学习吧,上面说了一大堆名称,我也不知道找什么资料。不要跟我墨迹,我就想几个月入门找工作了。
废话不多说,上干货!下面是我根据上面的学习路线整理的学习资料。
1、配套这个学习路线图有配套的教程笔记源码提供:
2、网络安全视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
3、SRC文档&黑客技术书籍
大家最喜欢也是最关心的SRC文档&黑客技术书籍也有收录
4、护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
Tips
想获取上面思维导图及资料完整高清版,可以回复「安全」自动获取。
