自学网络安全(黑客)全网详细路线
前言
web渗透是网络安全大行业里入门板块,就像十年前的软件,前景非常被看好,薪资也很诱人。与软件测试和前端开发只需掌握一定的编程能力不同的是,渗透需要掌握的知识内容较多,花费的时间较长,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识,web安全基础、渗透测试基础、漏洞原理和挖掘复现能力、代码审计,攻击和防守等等相关技术。
关于渗透的前景,先说两个观点,脚本小子的时代已经过去了,知识永远是与时俱进的。
目前渗透测试的人才输送有限,但由于学校教育有限,很多高校的专业毕业生,只知理论,不能很好的胜任工作岗位,而校外培训机构,鉴于网络安全的学习难度,各培训机构每年可培育的人才数目也是有限的。
但是随着渗透测试从业人员的增多,高校逐步开展专业学科的情况下,未来的人才会越来越多,竞争会越来越大。以前能搞简单注入黑网站的“大牛”,以后在正规军面前,肯定会失去优势。所以,放弃畏难情绪,提高对自己的要求,提升自己的能力才是唯一的出路。至于未来,如果你的技术和经验没有随着年龄的增长而增加,周而复始倒腾着那老一套的工具,那么失去竞争力也是必然的。
正如现在企业对渗透的用人要求就明显比前几年高很多。
在广度扩展的同时,对每一项的深度要求也在逐步提升。在大量政策支持的情况下,在大量就业岗位淮备的情况下,未来对人才的需求会越来越多。
你在开始学习前,先要有一个心里准备,那就是做渗透测试往往面临的问题是在是太难,就是要找出别人都想不到的问题,所以如果兴趣不是特别大的话,就很难坚持下去。渗透属于信息安全领域专业性最强的工作种类,对技术的要求较高。常见的渗透测试中,工具始终只是辅助,不管是老牌工具还是最新的工具,只是渗透测试的一部分,想用它直接扫到注入点或者后台,很难。更多地还是靠知识体系、经验、熟练度以及自己研究的深度去手工发现漏洞。
但如今,渗透的入行门槛也越来越高,相关技术能力掌握要求越来越高,渗透需要掌握的知识内容比较多,所以需要多花一些时间,它不像软件测试和前端开发,掌握一定的编程能力就可以了,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识、web安全基础、渗透测试基础、漏洞原理和挖掘复现能力,代码审计、攻击和防守等等相关技术。因此如果走这个方向的话需要多花一些时间去系统学习。
网络安全知识路线
一、基础阶段
1、中华人民共和国网络安全法 (包含18个知识点)
2、Linux操作系统 (包含16个知识点)
3、计算机网络 (包含12个知识点)
4、SHELL (包含14个知识点)
5、HTML/CSS (包含44个知识点)
6、JavaScript (包含41个知识点)
7、PHP入门 (包含12个知识点)
8、MySQL数据库 (包含30个知识点)
9、Python (包含18个知识点)
入门的第一步是系统化的学习计算机基础知识,也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后,就要进行实操了。
因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物,所以需要掌握的内容比较多。
二、渗透阶段
1、SQL注入的渗透与防御(包含36个知识点)
2、XSS相关渗透与防御(包含12个知识点)
3、上传验证渗透与防御(包含16个知识点)
4、文件包含渗透与防御(包含12个知识点)
5、CSRF渗透与防御(包含7个知识点)
6、SSRF渗透与防御(包含6个知识点)
7、XXE渗透与防御(包含5个知识点)
8、远程代码执行渗透与防御(包含7个知识点)
9、反序列化渗透与防御(包含12个知识点)
10、逻辑漏洞(包含12个知识点)
11、暴力猜解与防御(包含11个知识点)
12、Redis未授权访问漏洞(包含9个知识点)
13、AWVS漏洞扫描(包含7个知识点)
14、Appscan漏洞扫描(包含10个知识点)
15、Nessus漏洞扫描(包含5个知识点)
16、MSF-Metasploit Framework(包含26个知识点)
17、社会工程学(包含14个知识点)
18、ARP渗透与防御(包含36个知识点)
19、系统权限提升渗透与防御(包含5个知识点)
20、DOS与DDOS渗透与防御(包含8个知识点)
21、内网相关渗透与防御(包含4个知识点)
22、无线安全相关渗透与防御(包含63个知识点)
23、木马免杀问题与防御(包含6个知识点)
24、vulnhub靶场实战系列(包含50个知识点)
25、Kali高级渗透测试(包含80个知识点)
掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了;
三、安全管理(提升)
1、渗透报告编写(包含21个知识点)
2、等级保护2.0(包含50个知识点)
3、应急响应(包含5个知识点)
4、代码审计(包含8个知识点)
5、风险评估(包含11个知识点)
6、安全巡检(包含12个知识点)
7、数据安全(包含25个知识点)
主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。
这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位,这一阶段可学可不学。
四、提升阶段(提升)
1、密码学(包含34个知识点)
2、JavaSE入门(包含92个知识点)
3、C语言(包含140个知识点)
4、C++语言(包含181个知识点)
5、Windows逆向(包含46个知识点)
6、CTF夺旗赛(包含36个知识点)
7、Aandroid逆向(包含40个知识点)
主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。
主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。
学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档。点击蓝字⑤偿领取
👉 黑客&网络安全入门&进阶学习资源包👈
以下是一些网络安全学习方面的书籍推荐,但是随着技术的发展和变化,书籍内容也会更新迭代。建议在学习过程中随时关注最新的网络安全技术。
别看东西很多,其实都是很简单的基础知识。计算机专业的同学都应该接触了解过,可以略过。
Web安全/渗透测试推荐资源
没学过的同学也不要慌,可以再看点文献或者看相关视频
总结了一些零基础入门精品视频,相对于比较杂乱的教程要系统一些。
网络安全需要常用到的工具合集,当然不常见用到了也帮大家整理好了,这里就不一一展示。
偶尔也需要看一些文献帮助了解网络安全行业现阶段的需求和内容。
黑客&网络安全入门&进阶学习资源包,大家记得点个关注,关注之后后台会自动发送给大家!
结语
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
相关文章:
自学网络安全(黑客)全网详细路线
前言 web渗透是网络安全大行业里入门板块,就像十年前的软件,前景非常被看好,薪资也很诱人。与软件测试和前端开发只需掌握一定的编程能力不同的是,渗透需要掌握的知识内容较多,花费的时间较长,渗透测试掌握…...
上半年210个数字化大单,花落谁家?
2023年,各地数字化采购项目有怎样的进展?最近,我们通过中国政府采购网、中国招投标公共服务平台、天眼查、企查查等渠道,梳理了2023年上半年政企数字化项目的中标情况,并从中看到今年数字化项目的市场特点。 01 金融千…...
)
Integer.bitCount()
先看一道算法题: 剑指 Offer 15. 二进制中1的个数 编写一个函数,输入是一个无符号整数(以二进制串的形式),返回其二进制表达式中数字位数为 1 的个数(也被称为 汉明重量).)。 提示: …...
【Gitee的使用】Gitee的简单使用,查看/创建SSH公匙、创建版本库、拉取代码、提交代码
推荐阅读 CSDN主页GitHub开源地址Unity3D插件分享简书地址我的个人博客 大家好,我是佛系工程师☆恬静的小魔龙☆,不定时更新Unity开发技巧,觉得有用记得一键三连哦。 一、前言 本篇文章简单介绍,如何在Gitee上面创建版本库、拉取…...
Java 跨平台多媒体处理样例
代码 import cn.hutool.core.exceptions.ExceptionUtil; import cn.hutool.core.io.FileUtil; import cn.hutool.core.io.IoUtil; import cn.hutool.core.util.CharsetUtil; import lombok.extern.slf4j.Slf4j; import ws.schild.jave.Encoder; import ws.schild.jave.Multime…...
——安装)
cmake基础(3)——安装
一、简介 install命令用于指定安装时的规则,由于安装命令比较复杂,这里做一部分内容的介绍,后续用到再继续完善。 1.命令简介 本文档基于3.20,目前有6种安装方式。 install(TARGETS <target>... [...]) install({FILES …...
LeetCode解法汇总1572. 矩阵对角线元素的和
目录链接: 力扣编程题-解法汇总_分享记录-CSDN博客 GitHub同步刷题项目: https://github.com/September26/java-algorithms 原题链接:力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 描述: 给你一个正…...
)
BFC(Block formatting context 块级格式化上下文)
1、开启了BFC能解决什么问题? 给父元素开启BFC,其子元素不会再产生 margin 塌陷问题。自己不会被其他浮动元素所覆盖。就算其子元素浮动,元素自身高度也不会塌陷。 2、如何开启? 根元素浮动元素绝对定位、固定定位的元素行内块…...
Leetcode-每日一题【剑指 Offer 14- II. 剪绳子 II】
题目 2、3、3的三段,此时得到的最大乘积是18。 答案需要取模 1e97(1000000007),如计算初始结果为:1000000008,请返回 1。 示例 1: 输入: 2输出: 1解释: 2 1 1, 1 1 1 示例 2: 输入: 10输出…...
bye 我的博客网站
Bye🙋🙋🙋,我的博客网站。在我的服务器上运行了9个月之久的博客网站要和大家Bye了。 背景 可能很多人不知道我的这个博客网站的存在,好吧,最后一次展示它了,博客网站地址在这里,它…...
Llama 2:开放基础和微调聊天模型
介绍 大型语言模型(llm)作为高能力的人工智能助手,在复杂的推理任务中表现出色,这些任务需要广泛领域的专家知识,包括编程和创意写作等专业领域。它们可以通过直观的聊天界面与人类进行交互,这在公众中得到了迅速而广泛的采用。 法学硕士的能力是显著的考虑到训练的表面上…...
JVM工作的总体机制概述
JDK、JRE、JVM关系回顾 JVM:Java Virtual Machine,翻译过来是Java虚拟机JRE:Java Runtime Environment,翻译过来是Java运行时环境 JREJVMJava程序运行时所需要的类库JDK:Java Development Kits,翻译过来是…...
jmeter工具测试和压测websocket协议【杭州多测师_王sir】
一、安装JDK配置好环境变量,安装好jmeter 二、下载WebSocketSampler发送请求用的,地址:https://bitbucket.org/pjtr/jmeter-websocket-samplers/downloads/?spma2c4g.11186623.2.15.363f211bH03KeI 下载解压后的jar包放到D:\JMeter\apache-j…...
国产漏洞扫描器Xray入门,详细教程
国产漏洞扫描器Xray入门,详细教程 1.Xray简介2.快速开始3.使用 xray 代理模式进行漏洞扫描4.使用 xray 基础爬虫模式进行漏洞扫描5.使用 xray 进行服务扫描1.Xray简介 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度…...
LeetCode209. 长度最小的子数组
题目:LeetCode209. 长度最小的子数组 描述: 给定一个含有 n 个正整数的数组和一个正整数 target 。 找出该数组中满足其和 ≥ target 的长度最小的 连续子数组 [numsl, numsl1, …, numsr-1, numsr] ,并返回其长度。如果不存在符合条件的子…...
css冒号对齐
实现后的样式效果 实现方式 html: <el-col v-if"item.showInSingle ! false" :span"6" style"padding: 4px 0"><label>{{ item.label }}:</label><span v-if"singleData[item.prop] ! 0 &…...
那些年的golang开发经验记录
goland 问题CreateProcess error216, 该版本的 %1 与你运行的 Windows 版本不兼容。请查看计算机的系统信息,然后联系软件发布者 Cannot run program "......" (in directory "D:\project\go\awesomeProject\src\test"): CreateProcess error2…...
element中select下拉框如何实现宽度自适应
简单暴力: element 和 elementPlus 都可以直接在el-select上添加 style"width: 100%" 解决 <el-select style"width: 100%" v-model"cats" multiple filterable placeholder"请选择分类"> . . . </el-select&…...
springboot项目get请求下划线转驼峰@JsonProperty注解失效问题
问题:解决sprigboot项目get请求中有下划线的入参参数,如:first_name,希望在项目中将下划线格式转成firstName,用JsonProperty注解发现失效问题 1.核查:JsonProperty注解对应包是否正确 正确包:…...
架构训练营学习笔记:6-2 微服务基础选型
基础选型 微服务基础设施架构 优先级 其中,核心 就是服务注册、服务发现、服务路由。 模式1-嵌入SDK 模式2-反向代理式 模式3-网络代理式(Service Mesh) 模式对比 常见微服务框架选择 嵌入SDK-dubbo Spring Cloud 反向代理式 APISIX …...
详解)
后进先出(LIFO)详解
LIFO 是 Last In, First Out 的缩写,中文译为后进先出。这是一种数据结构的工作原则,类似于一摞盘子或一叠书本: 最后放进去的元素最先出来 -想象往筒状容器里放盘子: (1)你放进的最后一个盘子(…...
Appium+python自动化(十六)- ADB命令
简介 Android 调试桥(adb)是多种用途的工具,该工具可以帮助你你管理设备或模拟器 的状态。 adb ( Android Debug Bridge)是一个通用命令行工具,其允许您与模拟器实例或连接的 Android 设备进行通信。它可为各种设备操作提供便利,如安装和调试…...
R语言AI模型部署方案:精准离线运行详解
R语言AI模型部署方案:精准离线运行详解 一、项目概述 本文将构建一个完整的R语言AI部署解决方案,实现鸢尾花分类模型的训练、保存、离线部署和预测功能。核心特点: 100%离线运行能力自包含环境依赖生产级错误处理跨平台兼容性模型版本管理# 文件结构说明 Iris_AI_Deployme…...
MongoDB学习和应用(高效的非关系型数据库)
一丶 MongoDB简介 对于社交类软件的功能,我们需要对它的功能特点进行分析: 数据量会随着用户数增大而增大读多写少价值较低非好友看不到其动态信息地理位置的查询… 针对以上特点进行分析各大存储工具: mysql:关系型数据库&am…...
23-Oracle 23 ai 区块链表(Blockchain Table)
小伙伴有没有在金融强合规的领域中遇见,必须要保持数据不可变,管理员都无法修改和留痕的要求。比如医疗的电子病历中,影像检查检验结果不可篡改行的,药品追溯过程中数据只可插入无法删除的特性需求;登录日志、修改日志…...
C++八股 —— 单例模式
文章目录 1. 基本概念2. 设计要点3. 实现方式4. 详解懒汉模式 1. 基本概念 线程安全(Thread Safety) 线程安全是指在多线程环境下,某个函数、类或代码片段能够被多个线程同时调用时,仍能保证数据的一致性和逻辑的正确性…...
Mac下Android Studio扫描根目录卡死问题记录
环境信息 操作系统: macOS 15.5 (Apple M2芯片)Android Studio版本: Meerkat Feature Drop | 2024.3.2 Patch 1 (Build #AI-243.26053.27.2432.13536105, 2025年5月22日构建) 问题现象 在项目开发过程中,提示一个依赖外部头文件的cpp源文件需要同步,点…...
使用Matplotlib创建炫酷的3D散点图:数据可视化的新维度
文章目录 基础实现代码代码解析进阶技巧1. 自定义点的大小和颜色2. 添加图例和样式美化3. 真实数据应用示例实用技巧与注意事项完整示例(带样式)应用场景在数据科学和可视化领域,三维图形能为我们提供更丰富的数据洞察。本文将手把手教你如何使用Python的Matplotlib库创建引…...
Aspose.PDF 限制绕过方案:Java 字节码技术实战分享(仅供学习)
Aspose.PDF 限制绕过方案:Java 字节码技术实战分享(仅供学习) 一、Aspose.PDF 简介二、说明(⚠️仅供学习与研究使用)三、技术流程总览四、准备工作1. 下载 Jar 包2. Maven 项目依赖配置 五、字节码修改实现代码&#…...
基于SpringBoot在线拍卖系统的设计和实现
摘 要 随着社会的发展,社会的各行各业都在利用信息化时代的优势。计算机的优势和普及使得各种信息系统的开发成为必需。 在线拍卖系统,主要的模块包括管理员;首页、个人中心、用户管理、商品类型管理、拍卖商品管理、历史竞拍管理、竞拍订单…...