自学网络安全(黑客)全网详细路线
前言
web渗透是网络安全大行业里入门板块,就像十年前的软件,前景非常被看好,薪资也很诱人。与软件测试和前端开发只需掌握一定的编程能力不同的是,渗透需要掌握的知识内容较多,花费的时间较长,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识,web安全基础、渗透测试基础、漏洞原理和挖掘复现能力、代码审计,攻击和防守等等相关技术。
关于渗透的前景,先说两个观点,脚本小子的时代已经过去了,知识永远是与时俱进的。
目前渗透测试的人才输送有限,但由于学校教育有限,很多高校的专业毕业生,只知理论,不能很好的胜任工作岗位,而校外培训机构,鉴于网络安全的学习难度,各培训机构每年可培育的人才数目也是有限的。
但是随着渗透测试从业人员的增多,高校逐步开展专业学科的情况下,未来的人才会越来越多,竞争会越来越大。以前能搞简单注入黑网站的“大牛”,以后在正规军面前,肯定会失去优势。所以,放弃畏难情绪,提高对自己的要求,提升自己的能力才是唯一的出路。至于未来,如果你的技术和经验没有随着年龄的增长而增加,周而复始倒腾着那老一套的工具,那么失去竞争力也是必然的。
正如现在企业对渗透的用人要求就明显比前几年高很多。
在广度扩展的同时,对每一项的深度要求也在逐步提升。在大量政策支持的情况下,在大量就业岗位淮备的情况下,未来对人才的需求会越来越多。
你在开始学习前,先要有一个心里准备,那就是做渗透测试往往面临的问题是在是太难,就是要找出别人都想不到的问题,所以如果兴趣不是特别大的话,就很难坚持下去。渗透属于信息安全领域专业性最强的工作种类,对技术的要求较高。常见的渗透测试中,工具始终只是辅助,不管是老牌工具还是最新的工具,只是渗透测试的一部分,想用它直接扫到注入点或者后台,很难。更多地还是靠知识体系、经验、熟练度以及自己研究的深度去手工发现漏洞。
但如今,渗透的入行门槛也越来越高,相关技术能力掌握要求越来越高,渗透需要掌握的知识内容比较多,所以需要多花一些时间,它不像软件测试和前端开发,掌握一定的编程能力就可以了,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识、web安全基础、渗透测试基础、漏洞原理和挖掘复现能力,代码审计、攻击和防守等等相关技术。因此如果走这个方向的话需要多花一些时间去系统学习。
网络安全知识路线
一、基础阶段
1、中华人民共和国网络安全法 (包含18个知识点)
2、Linux操作系统 (包含16个知识点)
3、计算机网络 (包含12个知识点)
4、SHELL (包含14个知识点)
5、HTML/CSS (包含44个知识点)
6、JavaScript (包含41个知识点)
7、PHP入门 (包含12个知识点)
8、MySQL数据库 (包含30个知识点)
9、Python (包含18个知识点)
入门的第一步是系统化的学习计算机基础知识,也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后,就要进行实操了。
因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物,所以需要掌握的内容比较多。
二、渗透阶段
1、SQL注入的渗透与防御(包含36个知识点)
2、XSS相关渗透与防御(包含12个知识点)
3、上传验证渗透与防御(包含16个知识点)
4、文件包含渗透与防御(包含12个知识点)
5、CSRF渗透与防御(包含7个知识点)
6、SSRF渗透与防御(包含6个知识点)
7、XXE渗透与防御(包含5个知识点)
8、远程代码执行渗透与防御(包含7个知识点)
9、反序列化渗透与防御(包含12个知识点)
10、逻辑漏洞(包含12个知识点)
11、暴力猜解与防御(包含11个知识点)
12、Redis未授权访问漏洞(包含9个知识点)
13、AWVS漏洞扫描(包含7个知识点)
14、Appscan漏洞扫描(包含10个知识点)
15、Nessus漏洞扫描(包含5个知识点)
16、MSF-Metasploit Framework(包含26个知识点)
17、社会工程学(包含14个知识点)
18、ARP渗透与防御(包含36个知识点)
19、系统权限提升渗透与防御(包含5个知识点)
20、DOS与DDOS渗透与防御(包含8个知识点)
21、内网相关渗透与防御(包含4个知识点)
22、无线安全相关渗透与防御(包含63个知识点)
23、木马免杀问题与防御(包含6个知识点)
24、vulnhub靶场实战系列(包含50个知识点)
25、Kali高级渗透测试(包含80个知识点)
掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了;
三、安全管理(提升)
1、渗透报告编写(包含21个知识点)
2、等级保护2.0(包含50个知识点)
3、应急响应(包含5个知识点)
4、代码审计(包含8个知识点)
5、风险评估(包含11个知识点)
6、安全巡检(包含12个知识点)
7、数据安全(包含25个知识点)
主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。
这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位,这一阶段可学可不学。
四、提升阶段(提升)
1、密码学(包含34个知识点)
2、JavaSE入门(包含92个知识点)
3、C语言(包含140个知识点)
4、C++语言(包含181个知识点)
5、Windows逆向(包含46个知识点)
6、CTF夺旗赛(包含36个知识点)
7、Aandroid逆向(包含40个知识点)
主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。
主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。
学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档。点击蓝字⑤偿领取
👉 黑客&网络安全入门&进阶学习资源包👈
以下是一些网络安全学习方面的书籍推荐,但是随着技术的发展和变化,书籍内容也会更新迭代。建议在学习过程中随时关注最新的网络安全技术。
别看东西很多,其实都是很简单的基础知识。计算机专业的同学都应该接触了解过,可以略过。
Web安全/渗透测试推荐资源
没学过的同学也不要慌,可以再看点文献或者看相关视频
总结了一些零基础入门精品视频,相对于比较杂乱的教程要系统一些。
网络安全需要常用到的工具合集,当然不常见用到了也帮大家整理好了,这里就不一一展示。
偶尔也需要看一些文献帮助了解网络安全行业现阶段的需求和内容。
黑客&网络安全入门&进阶学习资源包,大家记得点个关注,关注之后后台会自动发送给大家!
结语
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
相关文章:
自学网络安全(黑客)全网详细路线
前言 web渗透是网络安全大行业里入门板块,就像十年前的软件,前景非常被看好,薪资也很诱人。与软件测试和前端开发只需掌握一定的编程能力不同的是,渗透需要掌握的知识内容较多,花费的时间较长,渗透测试掌握…...
上半年210个数字化大单,花落谁家?
2023年,各地数字化采购项目有怎样的进展?最近,我们通过中国政府采购网、中国招投标公共服务平台、天眼查、企查查等渠道,梳理了2023年上半年政企数字化项目的中标情况,并从中看到今年数字化项目的市场特点。 01 金融千…...
)
Integer.bitCount()
先看一道算法题: 剑指 Offer 15. 二进制中1的个数 编写一个函数,输入是一个无符号整数(以二进制串的形式),返回其二进制表达式中数字位数为 1 的个数(也被称为 汉明重量).)。 提示: …...
【Gitee的使用】Gitee的简单使用,查看/创建SSH公匙、创建版本库、拉取代码、提交代码
推荐阅读 CSDN主页GitHub开源地址Unity3D插件分享简书地址我的个人博客 大家好,我是佛系工程师☆恬静的小魔龙☆,不定时更新Unity开发技巧,觉得有用记得一键三连哦。 一、前言 本篇文章简单介绍,如何在Gitee上面创建版本库、拉取…...
Java 跨平台多媒体处理样例
代码 import cn.hutool.core.exceptions.ExceptionUtil; import cn.hutool.core.io.FileUtil; import cn.hutool.core.io.IoUtil; import cn.hutool.core.util.CharsetUtil; import lombok.extern.slf4j.Slf4j; import ws.schild.jave.Encoder; import ws.schild.jave.Multime…...
——安装)
cmake基础(3)——安装
一、简介 install命令用于指定安装时的规则,由于安装命令比较复杂,这里做一部分内容的介绍,后续用到再继续完善。 1.命令简介 本文档基于3.20,目前有6种安装方式。 install(TARGETS <target>... [...]) install({FILES …...
LeetCode解法汇总1572. 矩阵对角线元素的和
目录链接: 力扣编程题-解法汇总_分享记录-CSDN博客 GitHub同步刷题项目: https://github.com/September26/java-algorithms 原题链接:力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 描述: 给你一个正…...
)
BFC(Block formatting context 块级格式化上下文)
1、开启了BFC能解决什么问题? 给父元素开启BFC,其子元素不会再产生 margin 塌陷问题。自己不会被其他浮动元素所覆盖。就算其子元素浮动,元素自身高度也不会塌陷。 2、如何开启? 根元素浮动元素绝对定位、固定定位的元素行内块…...
Leetcode-每日一题【剑指 Offer 14- II. 剪绳子 II】
题目 2、3、3的三段,此时得到的最大乘积是18。 答案需要取模 1e97(1000000007),如计算初始结果为:1000000008,请返回 1。 示例 1: 输入: 2输出: 1解释: 2 1 1, 1 1 1 示例 2: 输入: 10输出…...
bye 我的博客网站
Bye🙋🙋🙋,我的博客网站。在我的服务器上运行了9个月之久的博客网站要和大家Bye了。 背景 可能很多人不知道我的这个博客网站的存在,好吧,最后一次展示它了,博客网站地址在这里,它…...
Llama 2:开放基础和微调聊天模型
介绍 大型语言模型(llm)作为高能力的人工智能助手,在复杂的推理任务中表现出色,这些任务需要广泛领域的专家知识,包括编程和创意写作等专业领域。它们可以通过直观的聊天界面与人类进行交互,这在公众中得到了迅速而广泛的采用。 法学硕士的能力是显著的考虑到训练的表面上…...
JVM工作的总体机制概述
JDK、JRE、JVM关系回顾 JVM:Java Virtual Machine,翻译过来是Java虚拟机JRE:Java Runtime Environment,翻译过来是Java运行时环境 JREJVMJava程序运行时所需要的类库JDK:Java Development Kits,翻译过来是…...
jmeter工具测试和压测websocket协议【杭州多测师_王sir】
一、安装JDK配置好环境变量,安装好jmeter 二、下载WebSocketSampler发送请求用的,地址:https://bitbucket.org/pjtr/jmeter-websocket-samplers/downloads/?spma2c4g.11186623.2.15.363f211bH03KeI 下载解压后的jar包放到D:\JMeter\apache-j…...
国产漏洞扫描器Xray入门,详细教程
国产漏洞扫描器Xray入门,详细教程 1.Xray简介2.快速开始3.使用 xray 代理模式进行漏洞扫描4.使用 xray 基础爬虫模式进行漏洞扫描5.使用 xray 进行服务扫描1.Xray简介 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度…...
LeetCode209. 长度最小的子数组
题目:LeetCode209. 长度最小的子数组 描述: 给定一个含有 n 个正整数的数组和一个正整数 target 。 找出该数组中满足其和 ≥ target 的长度最小的 连续子数组 [numsl, numsl1, …, numsr-1, numsr] ,并返回其长度。如果不存在符合条件的子…...
css冒号对齐
实现后的样式效果 实现方式 html: <el-col v-if"item.showInSingle ! false" :span"6" style"padding: 4px 0"><label>{{ item.label }}:</label><span v-if"singleData[item.prop] ! 0 &…...
那些年的golang开发经验记录
goland 问题CreateProcess error216, 该版本的 %1 与你运行的 Windows 版本不兼容。请查看计算机的系统信息,然后联系软件发布者 Cannot run program "......" (in directory "D:\project\go\awesomeProject\src\test"): CreateProcess error2…...
element中select下拉框如何实现宽度自适应
简单暴力: element 和 elementPlus 都可以直接在el-select上添加 style"width: 100%" 解决 <el-select style"width: 100%" v-model"cats" multiple filterable placeholder"请选择分类"> . . . </el-select&…...
springboot项目get请求下划线转驼峰@JsonProperty注解失效问题
问题:解决sprigboot项目get请求中有下划线的入参参数,如:first_name,希望在项目中将下划线格式转成firstName,用JsonProperty注解发现失效问题 1.核查:JsonProperty注解对应包是否正确 正确包:…...
架构训练营学习笔记:6-2 微服务基础选型
基础选型 微服务基础设施架构 优先级 其中,核心 就是服务注册、服务发现、服务路由。 模式1-嵌入SDK 模式2-反向代理式 模式3-网络代理式(Service Mesh) 模式对比 常见微服务框架选择 嵌入SDK-dubbo Spring Cloud 反向代理式 APISIX …...
相机Camera日志实例分析之二:相机Camx【专业模式开启直方图拍照】单帧流程日志详解
【关注我,后续持续新增专题博文,谢谢!!!】 上一篇我们讲了: 这一篇我们开始讲: 目录 一、场景操作步骤 二、日志基础关键字分级如下 三、场景日志如下: 一、场景操作步骤 操作步…...
FastAPI 教程:从入门到实践
FastAPI 是一个现代、快速(高性能)的 Web 框架,用于构建 API,支持 Python 3.6。它基于标准 Python 类型提示,易于学习且功能强大。以下是一个完整的 FastAPI 入门教程,涵盖从环境搭建到创建并运行一个简单的…...
React Native在HarmonyOS 5.0阅读类应用开发中的实践
一、技术选型背景 随着HarmonyOS 5.0对Web兼容层的增强,React Native作为跨平台框架可通过重新编译ArkTS组件实现85%以上的代码复用率。阅读类应用具有UI复杂度低、数据流清晰的特点。 二、核心实现方案 1. 环境配置 (1)使用React Native…...
让AI看见世界:MCP协议与服务器的工作原理
让AI看见世界:MCP协议与服务器的工作原理 MCP(Model Context Protocol)是一种创新的通信协议,旨在让大型语言模型能够安全、高效地与外部资源进行交互。在AI技术快速发展的今天,MCP正成为连接AI与现实世界的重要桥梁。…...
Java线上CPU飙高问题排查全指南
一、引言 在Java应用的线上运行环境中,CPU飙高是一个常见且棘手的性能问题。当系统出现CPU飙高时,通常会导致应用响应缓慢,甚至服务不可用,严重影响用户体验和业务运行。因此,掌握一套科学有效的CPU飙高问题排查方法&…...
【电力电子】基于STM32F103C8T6单片机双极性SPWM逆变(硬件篇)
本项目是基于 STM32F103C8T6 微控制器的 SPWM(正弦脉宽调制)电源模块,能够生成可调频率和幅值的正弦波交流电源输出。该项目适用于逆变器、UPS电源、变频器等应用场景。 供电电源 输入电压采集 上图为本设计的电源电路,图中 D1 为二极管, 其目的是防止正负极电源反接, …...
JavaScript基础-API 和 Web API
在学习JavaScript的过程中,理解API(应用程序接口)和Web API的概念及其应用是非常重要的。这些工具极大地扩展了JavaScript的功能,使得开发者能够创建出功能丰富、交互性强的Web应用程序。本文将深入探讨JavaScript中的API与Web AP…...
AirSim/Cosys-AirSim 游戏开发(四)外部固定位置监控相机
这个博客介绍了如何通过 settings.json 文件添加一个无人机外的 固定位置监控相机,因为在使用过程中发现 Airsim 对外部监控相机的描述模糊,而 Cosys-Airsim 在官方文档中没有提供外部监控相机设置,最后在源码示例中找到了,所以感…...
在 Spring Boot 项目里,MYSQL中json类型字段使用
前言: 因为程序特殊需求导致,需要mysql数据库存储json类型数据,因此记录一下使用流程 1.java实体中新增字段 private List<User> users 2.增加mybatis-plus注解 TableField(typeHandler FastjsonTypeHandler.class) private Lis…...
【无标题】湖北理元理律师事务所:债务优化中的生活保障与法律平衡之道
文/法律实务观察组 在债务重组领域,专业机构的核心价值不仅在于减轻债务数字,更在于帮助债务人在履行义务的同时维持基本生活尊严。湖北理元理律师事务所的服务实践表明,合法债务优化需同步实现三重平衡: 法律刚性(债…...