2025年三个月自学手册 网络安全(黑客技术)

🤟 基于入门网络安全/黑客打造的:👉黑客&网络安全入门&进阶学习资源包

前言

什么是网络安全

网络安全可以基于攻击和防御视角来分类,我们经常听到的 "红队"、"渗透测试" 等就是研究攻击技术,而"蓝队"、"安全运营"、"安全运维"则研究防御技术。

如何成为一名黑客

很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为 黑客(网络安全)入门必备黑客(网络安全)职业指南黑客(网络安全)学习导航 三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。(文末有福利~)

  1. 黑客(网络安全)入门必备

关于「黑客」,每个人都有自己的定义和理解。我认为,一名合格的黑客,抛开技术层面,首先应该具备以下这些能力或品质:

正直善良的价值观:遵法守纪、严守底线、拒绝黑灰产

科学合理的方法论:终身成长、知识管理、第一性原理

持续有效的执行力:自我驱动、实践为先、结果导向

以上排序,权重应该是从上到下的。毕竟,一个人的价值观会影响他(她)选择的方法论,而一个人的方法论则会决定他(她)做事的结果。

1.1 首先,黑客需要有「正直善良的价值观」。

学习并掌握了所谓的「黑客技术」之后,即便从事的不是保家卫国护网之类的网络安全职位,你仍有较大几率听闻或接触到这些关键词:拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛......

相信我,在互联网上,拒绝黑灰产要跟拒绝黄赌毒一样坚决,一旦你碰了,是很难回头的。人性在巨大的金额回报诱惑下,是很容易摇摆的。到底向左还是向右走,真的取决于你的价值观取向。

因此,秉持正直善良的价值观、遵法守纪、严守底线,是你进入黑客之旅务必要携带的护符,它能为你驱除杂念、为你的职业生涯保卫护航。

1.2 其次,黑客需要有「科学合理的方法论」。

黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易精深难」。

进入这个圈子之前,相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法,但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时,你真的能坚持下来吗?

大部分人走着走着就迷路了,本质是缺少方法论的支撑,各行各业的方法论很多,这里仅分享对我个人影响最为深刻的 3 个:

终身成长,即采用持续成长的心态,将学习与成长周期无限拉长到一生。

   很多人喜欢将 "过了 xx 岁就学不动了" 之类的挂在嘴别,在我看来要么是误区要么是借口,这样观念无非是用来掩饰自己懒惰不愿成长不想改变的心态。如果你接受这些传统观念,那只能说明你不适合做一名黑客。相反地,采用终身成长这套方法论,将「做一名黑客」的时间跨度无限拉长到一生,把它当成一生的事业而不是一个短暂的职位,那么,我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较,给自己多点时间和耐心,3 个月不行就 6 个月, 6 个月不行就 1 年,1 年不行就 2 年...... 这个方法论的实践,可以让我们在成长路上戒骄戒躁并持续精进,不妄求短时间内"大跃进",也抛弃了"一口吃撑"的激进做法。

知识管理,即 PKM(Personal Knowledge Management ),是研究如何科学高效管理知识的一套方法论。

   考虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,超过了大部分人的承载能力。因此,如果你要做黑客,那么我推荐你采用 PKM 来构建自己的知识管理系统,持续优化输入输出路径,打造最优学习闭环。采用这个方法论,最终可以让我们得到这个结果:学习能力比别人强一点、成长速度比别人快一点。

第一性原理,即 First Principle Thinking,简单来说就是透过事物现象看本质。

  很多人在刚学习黑客或网络安全技术时,经常会有这些问题:我在学校学的编程语言是 C/C++,Java / Python 这些能学会吗?我是做软件开发的,能从事网络安全方向吗?我是搞 Web 安全的,能转移动安全吗?...... 有这些问题的人,大体缺乏这套方法论的使用经验。例如,学编程,以第一性原理的视角来看,核心不是学语法,而更应重视算法、数据结构、代码逻辑这些,搞定这些底层,其实根本不存在语言切换的问题。同理,做软件开发就是用代码研制出产品(网站/业务系统/APP等),而做网络安全就是给产品找bug,两者相辅相成,即「不懂软件开发的程序员不是一个合格的黑客」。以上仅是这套方法论的粗浅举例,在此先不展开。我更想说的是,作为一名黑客,采用这套方法论,可以让我们:习惯用why而不是what、思考更深入一点、知识更通透一点。价值观再正,方法论再好,若没有执行力,那便是纸上谈兵。例如,看书学习处于"三天打鱼两天晒网"的状态,这就是典型的执行力出了问题。
1.3 因此,「持续有效的执行力」也是黑客必备的能力。

那么,如何做到持续有效执行(学习/工作/成长)?我认为有 3 个点:

自我驱动:对各类技术知识足够狂热、有强烈的兴趣和好奇心、遇到问题刨根问底、有较强的自律能力...... 只有保持这样的自我驱动,才能真正做到持续稳定。

实践为先:学到的知识是否真的有用,先动手再说,所谓"实践出真知"。

结果导向:同样是干活,也有"干了"和"干好"的差别。因此,无论看书做实验搞项目,一定要结果导向,用数据和效果说话。

简单来说,保持自我驱动的状态,多动手实践,以结果为依据,以此获得持续有效的执行力,这是学习或从事黑客(网络安全)工作的基石。

2. 黑客(网络安全)职业指南

在 2017 年 6 月 1 号之前,即网络安全法出台之前,黑客在公众眼里甚至是个贬义词,在企业里面,安全工程师甚至是可有可无的"消耗型"岗位。

而随着《国家网络空间安全战略》《网络安全法》《等保2.0》等一系列政策/法规/标准的持续落地,网络安全产业从小众产业逐步发展成为国家战略性新兴产业,与人工智能、大数据、云计算等领域并驾齐驱。

政企单位的网络安全建设也从以往的"可选项"逐步变为"必选项"甚至是"强制项",很多企业在进行 IT 部门及岗位划分时,以往往往只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多企业成立独立的安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。

越来越多高校也陆续开设了网络空间安全 / 信息安全学科,为互联网、金融、电商、运营商、政企等各行各业输送人才。

短短几年间,黑客不仅成为了正规军,还直接跃升为国家战略型资源,成为企业"一将难求"的稀缺资源。

因此,要想体系化的了解黑客的职业发展道路,那我们就必须了解网络安全行业的方方面面,包括:

网络安全行业分类、技能需求

网络安全职位分类、招聘需求

网络安全招聘企业、薪酬标准

2.1 网络安全行业分类、技能需求

根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 等不同领域。下面以个人所在行业和关注点,重点探讨 网络 / Web / 云这几个安全方向。

① 网络安全

[网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟科技、天融信这几个企业("老三大" )。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

大的安全项目(肥肉...)主要集中在以政府/国企需求的政务网/税务网/社保网/电力网... 以运营商(移动/电信/联通)需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络,承载着国民最核心的基础设施和敏感数据,一旦泄露或者遭到非法入侵,影响范围就不仅仅是一个企业/公司/组织的事情,例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

当然,除了以上这些,还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。

[技能需求]

网络协议:TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow...

主流网络与安全设备部署:思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD...

网络安全架构与设计:企业网/电信网/政务网/教育网/数据中心网设计与部署...

信息安全等保标准、金土/金税工程... ......

[补充说明]

不要被电影和新闻等节奏带偏,战斗在这个领域的安全工程师非常非常多,不是天天攻击别人写攻击代码写病毒的才叫做安全工程师;

这个安全领域研究的内容除了defense(防御)和security(安全),相关的Hacking(攻击)技术包括协议安全(arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、HTTP/VPN弱版本或中间人攻击...)、接入安全(MAC泛洪与欺骗、802.1x、WiFi暴力破解...)、硬件安全(利用NSA泄露工具包攻击知名防火墙、设备远程代码执行漏洞getshell、网络设备弱口令破解... )、配置安全(不安全的协议被开启、不需要端口服务被开启...)...

学习这个安全方向不需要太多计算机编程功底(不是走研发路线而是走安全服务工程师路线),更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析,对网络和安全设备能熟悉配置;

② Web安全

Web安全领域从狭义的角度来看,就是一门研究[网站安全]的技术,相比[网络安全]领域,普通用户能够更加直观感知。例如,网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据(例如新浪微博或淘宝网用户账号泄露,这个时候就会引发恐慌且相继修改密码等)。当然,大的安全项目里面,Web安全仅仅是一个分支,是需要跟[网络安全]是相辅相成的,只不过Web安全关注上层应用和数据,网络安全关注底层网络安全。

随着Web技术的高速发展,从原来的[Web不就是几个静态网页吗?]到了现在的[Web就是互联网],越来越多的服务与应用直接基于Web应用来展开,而不再仅仅是一个企业网站或论坛。如今,社交、电商、游戏、网银、邮箱、OA......等几乎所有能联网的应用,都可以直接基于Web技术来提供。

由于Web所承载的意义越来越大,围绕Web安全对应的攻击方法与防御技术也层出不穷,例如WAF(网页防火墙)、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

[技能需求]

Web安全的技能点同样多的数不过来,因为要搞Web方向的安全,意味初学者要对Web开发技术有所了解,例如能通过前后端技术做一个Web网站出来,好比要搞[网络安全],首先要懂如何搭建一个网络出来。那么,Web技术就涉及到以下内容:

通信协议:TCP、HTTP、HTTPs

操作系统:Linux、Windows

服务架设:Apache、Nginx、LAMP、LNMP、MVC架构

数据库:MySQL、SQL Server、Oracle

编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)

如果按照上面的技能全部学完,不仅时间周期非常长,估计大部分人连学后面安全的兴趣都没有了。所以,这就说到Web安全这个行业另外一个常态了:大部分做Web安全的,并不是刚开始就对Web开发技术非常熟悉的,很多都是半路杀出来了,甚至连Web网站都没有架设过的,这种大有人在。因此有更加狭义的Web安全技术点:

安全理论:OWASP TOP 10 、PETS、ISO 27001...

后端安全:SQL注入、文件上传、Webshell(木马)、文件包含、命令执行...

前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造...

安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web入侵防御)、Web主机防护

因此,Web开发技术和Web安全技术其实是相辅相成的,如果对Web开发比较熟悉,意味着研究Web安全时能够更加底层,而不止于安全工具和脚本层面。

[补充说明]

学习 Web 安全方向需要有一定的编程基础,如果对代码没兴趣,建议走[网络安全]方向;

[网络安全]和[Web安全]在安全领域里面刚好是对立面存在,一硬一软、一防一攻、一上(上层)一下(底层);

③ 终端安全(移动安全/桌面安全)

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全,例如iOS和Android安全,我们经常提到的"越狱"其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - "WannerCry勒索病毒",或者更加久远的"熊猫烧香",便是桌面安全的范畴。

桌面安全和移动安全研究的技术面都是终端安全领域,说的简单一些,一个研究电脑,一个研究手机。随着我们工作和生活,从PC端迁移到了移动端,终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品,便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶......

从商业的角度看,终端安全(移动安全加桌面安全)是一门to C的业务,更多面向最终个人和用户;而网络安全、Web安全、云安全更多是一门to B的业务,面向政企单位。举例:360这家公司就是典型的从to C安全业务延伸到to B安全业务的公司,例如360企业安全便是面向政企单位提供安全产品和服务,而我们熟悉的360安全卫士和杀毒则主要面向个人用户。

④ 云安全

[云安全] 是基于云计算技术来开展的另外一个安全领域,云安全研究的话题包括:软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全...... 目前,基于云计算所展开的安全产品已经非常多了,涵盖原有网络安全、Web安全、移动安全等方向,包括云防火墙、云抗DDOS、云漏扫、云桌面等,国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

云安全在产品形态和商用交付上面,实现安全从硬件到软件再到云的变革,大大减低了传统中小型企业使用安全产品的门槛,以前一个安全项目动辄百万级别,而基于云安全,实现了真正的按需弹性购买,大大减低采购成本。另外,云时代的安全也给原有行业的规范和实施带来更多挑战和变革,例如,托管在云端的商用服务,云服务商和客户各自承担的安全建设责任和边界如何区分?云端安全项目如何做信息安全等保测评?

[补充说明]

安全趋势:从硬件到软件再到云安全、从被动防御到主动防御、从单点到全局

安全的未来:"机器学习+大数据+ 云安全" 或 "AI + 安全",会不会成为行业终点?(举例:越来越多的服务直接基于云展开,以云服务商为代表的阿里云/腾讯云对其他安全企业的跨界打击)

求职情况:目前国内的云服务厂商在不断挖角传统网络安全厂商的人才(无论是研发还是工程实施),而且已经到了批量挖角的局面(具体哪里的,这里暂时就不提了...)

⑤ 工控安全

以震网病毒(stuxnet)攻击伊朗核电厂并使其瘫痪的全球事件,从安全领域活生生撕开一道口并告诉我们,工控病毒才是真正代替核武器战争的代表。相比其他安全方向,工控安全研究的攻防对象是工业基础设施,真正影响人类生活的方方面面,例如核电、电力、水力、城市交通等基础设施。随着万物互联/物联网的进程不断推进,工控安全会成为我们继互联网和移动互联网安全之后研究的重心。

2.2 网络安全职位分类、招聘需求
① 安全岗位

以安全公司招聘的情况来分,安全岗位可以以研发系、工程系、销售系来区分,不同公司对于安全岗位叫法有所区分,这里以行业常见的叫法归类如下:

研发系:安全研发、安全攻防研究、逆向分析

工程系:安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师

销售系:安全销售工程师、安全售前工程师、技术解决方案工程师

② 适合我们的岗位有哪些?

拼客学院这边毕业学员主要走安全工程系,我们目前主要应聘的岗位是:安全工程师、安全运维、安全服务工程师、渗透测试工程师、Web安全工程师,当然,也有部分学员在做安全研发和安全售前岗位。

例如在安全公司如绿盟科技、深信服、360、天融信等做安全工程师、安全服务、渗透测试等岗位,在甲方单位例如运营商(中国移动、中国电信)、金融类公司(平安科技、招商银行)等更多做安全运维、Web应用审计、Web渗透测试等岗位

③ 常见的安全岗位职责

这里仅列举部分,更多岗位可以到各类招聘网站如[拉勾网]上搜索相关的岗位,也可以了解不同类型公司对安全岗位的要求;也可以到知名安全公司的官网、微信公众号上了解他们校招和社招的信息;以下是平常在拼客学院招聘/内推的比较多的岗位,直接贴他们的招聘需求=>

[安全工程师](产品与售后方向) 职位描述 负责网络安全项目中的产品调试和交付 负责网络安全项目中的技术方案编写 负责客户的安全应急和售后驻场

职位要求: 具备扎实的计算机与网络原理,熟悉各类网络与安全设备(路由、交换、防火墙、VPN、漏洞扫描) 对网络数据包具备分析实践能力,熟练使用数据包分析工具; 熟悉常见网络通信协议(TCP/IP、交换路由协议、VPN协议等) 熟悉防火墙原理,能够熟练配置防火墙策略; 熟悉主流网络与安全厂商产品(思科/华为/华三/Juniper...) 较好的文档撰写能力、语言表达和与沟通能力。

[安全服务工程师] 职位描述 负责安全服务项目中的实施部分,包括:漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等; 爆发高危漏洞后时行漏洞的分析应急; 对公司安全产品的后端支持; 掌握专业文档编写技巧; 关注行业态势和热点。

职位要求: 掌握一门及以上编程语言; 熟悉常见安全攻防技术; 有较强学习能力,能快速学习新的技术; 熟悉风险评估、应急响应、渗透测试、安全加固等安全服务; 具有良好的语言表达能力、文档组织能力。

[安全运维工程师] 职位描述 服务器与网络基础设备的安全加固; 安全事件排查与分析,配合定期编写安全分析报告,专注业内安全事件; 跟踪最新漏洞信息,进行业务产品的安全检查; 负责信息安全策略/流程的制定,安全培训/宣传及推广; 负责Web漏洞和系统漏洞修复工作推进,跟踪解决情况,问题收集。

职位要求: 熟悉主流的Web安全技术,包括SQL注入、XSS、CSRF等OWASP TOP 10安全风险; 熟悉TCP/IP协议,路由交换、常用的应用层协议; 熟悉Linux/Windows下系统和软件的安全配置与加固; 熟悉常见的安全产品及原理,例如IDS、IPS、防火墙等; 熟练掌握C/PHP/Python/Shell等一或多种语言; 较好的文档撰写能力、语言表达和与沟通能力。

[Web安全工程师/渗透测试] 职位描述 对公司各类系统进行安全加固; 对公司网站、业务系统进行安全评估测试(黑盒、白盒测试); 对公司安全事件进行响应,清理后门,根据日志分析攻击途径; 安全技术研究,包括安全防范技术,黑客技术等; 跟踪最新漏洞信息,进行业务产品的安全检查。

职位要求 : 熟悉Web渗透测试方法和攻防技术,包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等安全漏洞与防御; 熟悉Linux、Windows不同平台的渗透测试,对网络安全、系统安全、应用安全有深入的理解和自己的认识; 熟悉国内外主流安全工具,包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等; 至少掌握一门编程语言C/JS/Python/PHP/Java/JS等; 对Web安全整体有深刻理解,有一定的代码审计和漏洞分析和挖掘能力; 具有较强的团队意识、高度的责任感,有良好的文档和沟通能力;

④ 安全岗位总结

走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。

当然,从行业新人入职到真正通往大神,这里是"0到1"和"1到100"的区别了,到了工作场景中,能否根据工作需求,再横向和纵向拓展个人技术栈,这块修行就完全靠个人了,例如,这边毕业的学员,有从安全运维和售后转向安全渗透岗的,有从安全渗透岗转到安全研发的,有从安全公司跳到互联网公司的,有从互联网公司跳到安全初创企业的......)

3. 网络安全学习导航
3.1 法律法规政策知道在什么框架下行事

《中华人民共和国刑法》

《中华人民共和国网络安全法》

《网络安全等级保护制度2.0》

3.2 国家政府机构(知道谁在管事)

中央网络信息安全领导小组:http://www.cac.gov.cn/

国家互联网应急中心:http://www.cert.org.cn/

中国国家信息安全漏洞库:http://www.cnnvd.org.cn/

国家信息安全漏洞共享中心:http://www.cnvd.org.cn/

中国信息安全测评中心:http://www.itsec.gov.cn/

中国信息安全等级保护网:http://www.djbh.net/

中国反网络病毒联盟:https://www.anva.org.cn/

中国互联网络信息中心:http://www.cnnic.net.cn/

3.3 安全企业站点(知道安全圈的主要玩家都有谁)

国外安全公司

Fireeye:https://www.fireeye.com/

Checkpoint:https://www.checkpoint.com/

Fortinet(飞塔):http://www.fortinet.com.cn/

Palo Alto:https://www.paloaltonetworks.cn/

思科(安全):http://www.cisco.com/c/zh_cn/products/security/index.html

Juniper(瞻博网络):http://www.juniper.net/cn/zh/

国内安全公司:

绿盟科技:https://www.nsfocus.com/

启明星辰:https://www.venustech.com.cn/

深信服:http://www.sangfor.com.cn/

奇虎360:https://360.cn/

奇安信:https://www.qianxin.com/

天融信:https://www.topsec.com.cn/

山石网科:https://www.hillstonenet.com.cn/

知道创宇:https://www.yunaq.com/

安恒信息:https://www.dbappsecurity.com.cn/

火绒安全:https://www.huorong.cn/

蓝盾科技:http://www.bluedon.com/

科来:http://www.colasoft.com.cn/

3.4 安全媒体安全客:
复制代码
  1. https://www.anquanke.com/

  2. FreeBuf:https://www.freebuf.com/

  3. E安全:https://www.easyaq.com/

3.5 安全工具
复制代码
  1. sectool:http://sectools.org/

  2. kali:https://www.kali.org/

  3. nmap:https://nmap.org/

  4. wireshark:https://www.wireshark.org/

  5. metaspolit:https://www.metasploit.com/

  6. nessus:http://www.tenable.com/

  7. openvas:http://www.openvas.org/

  8. sqlmap:http://sqlmap.org/

  9. w3af:http://w3af.org/

  10. burpsuite:https://portswigger.net/burp/

  11. awvs:https://www.acunetix.com/

  12. appscan:https://www.ibm.com/developerworks/cn/downloads/r/appscan/

  13. shodan:https://www.shodan.io/

  14. cobaltstrike:https://www.cobaltstrike.com/

  15. masscan:https://github.com/robertdavidgraham/masscan

  16. hydra:https://www.thc.org/thc-hydra/

  17. John the Ripper:http://www.openwall.com/john

  18. modsecurity:http://www.modsecurity.org/

3.6 安全标准/框架
复制代码
  1. OWASP TOP10

  2. PTES渗透测试标准

  3. ISO 27001

  4. 信息安全等级保护

3.7 书籍教材:
复制代码
  1. **网络安全推荐书单:**

  2. 《CCNA学习指南》

  3. 《TCP/IP详解卷一》

  4. 《局域网交换机安全》

  5. 《Cisco防火墙》

  6. 《网络安全原理与实践》

  7. 《网络安全技术与解决方案》

  8. 《华为防火墙技术漫谈》

  9. 《Cisco网络黑客大曝光》

  10. 《Wireshark网络分析实战》

  11. 《Wireshark数据包分析实战》

  12. 《DDoS攻击与防范深度剖析》

  13. 《Cisco VPN完全配置指南》

  14. 《Cisco安全入侵检测系统》

复制代码
  1. **Web安全/渗透测试推荐书单:**

  2. 《白帽子讲Web安全》

  3. 《Web安全深度剖析》

  4. 《Metaspolit渗透测试魔鬼训练营》

  5. 《Web前端安全揭秘》

  6. 《Web渗透测试使用Kali Linux》

  7. 《黑客攻防技术宝典Web实战篇》

  8. 《BurpSuite实战指南》

  9. 《SQL注入攻击与防御》

  10. 《XSS跨站脚本攻击剖析与防御》

  11. 《互联网企业安全高级指南》

复制代码
  1. **云计算安全推荐书单:**

  2. 《云安全原理与实践》

  3. 《云安全深度剖析》

  4. 《软件定义安全》

  5. 《软件定义数据中心》

  6. 《云数据中心构建实战》

  7. 《腾云:云计算和大数据时代网络技术揭秘》

  8. 《大数据时代下的云安全》

  9. 《云安全基础设施构建》

4.网络安全学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后
  • 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,点赞收藏评论区留言"已关注 求 "!都可以免费分享给大家!
    给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。

网络安全学习资料和教程,关注自动发送

黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)

结语

网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做"正向"的、结合"业务"与"数据"、"自动化"的"体系、建设",才能解人才之渴,真正的为社会全面互联网化提供安全保障。

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
🤟 基于入门网络安全/黑客打造的:👉黑客&网络安全入门&进阶学习资源包

相关推荐
AI研习星球3 分钟前
数据分析-50-客户价值分析-用Python实现RFM模型
python·机器学习·自然语言处理·数据挖掘·数据分析·算法学习·论文辅导
机器懒得学习5 分钟前
打造智能化恶意软件检测桌面系统:从数据分析到一键报告生成
人工智能·python·算法·数据挖掘
Xiezequan31 分钟前
C语言实现跨主机通讯
linux
tony36533 分钟前
optuna和 lightgbm
pytorch·python·深度学习
巴拉特好队友37 分钟前
找到一个linux静态库动态库的好资料.3
linux·运维·服务器
985小水博一枚呀39 分钟前
【深度学习基础之多尺度特征提取】特征金字塔(Feature Pyramid)是如何在深度学习网络中提取多尺度特征的?附代码
大数据·网络·人工智能·深度学习·神经网络·cnn
测试老哥1 小时前
功能测试和接口测试
自动化测试·软件测试·python·功能测试·测试工具·职场和发展·接口测试
我走过的路你也许在走1 小时前
python装饰器学习案例
开发语言·python·学习
我的运维人生1 小时前
Python在数据处理与分析中的高效应用:以金融数据为例
开发语言·python·金融·运维开发·技术共享
hgdlip1 小时前
b站ip属地评论和主页不一样怎么回事
服务器·网络·tcp/ip