很好,如果你是被题目吸引过来的,那请看完再走,还是有的~
为什么写这篇文章
如何自学入行?如何小白跳槽,年纪大了如何转行等类似问题 ,发现很多人都有这样的困惑。下面的文字其实是我以前的一个回答,就以文章的形式发出来,希望能帮助到各位读者吧~
为什么我更合适回答这个问题
因为我也是3年之前从小白直接跳槽到网络安全行业。当时我已经过30了。所以不用太过担心,你们一定比我行。
先问自己3个问题
首先呢,如果真对攻防漏洞感兴趣,真的痴迷,那就一定要换到此行。人生就一次,不能上喜欢的女孩子们,又不能做喜欢的事业,万一再没挣到钱,那太亏了,你说是吧。言归正传:决定是否要转行要看下面3个问题。
1.一定要明确自己是否是真喜欢,还是一时好奇。
转行前后,一定会大量、甚至终身要学习相关知识,而且是在工作之余,极大占用你的业余时间。如果没有强大的兴趣和毅力是不行的。你是转行,没有这个劲头是很难做出成绩的。如果你真喜欢,不用说,你一定能做到,否则,强迫自己努力是很难的。
2.自学的习惯
这个行业需要学习大量知识,而且没有所谓学完的一天。关键的是这行学的好,练得好是一切,谨记。可以打个比方,从事这行就像给你3年时间让你高考,一定要考上211或985一样。这行必须学的好才有发展。
3.选择网安、攻防这行的目标是什么?
你做这行的目标是什么?是权掌天下权,醉卧美人膝;是朝九晚五,安逸规律的生活;是熬资历熬经验,是像金融家一样侃侃而谈金碧辉煌,还是长袖善舞、左右逢源的商业代表?
如果是以上这些,网安攻防行业不能带给你。攻防是个技术工作,厉害点就是白帽子或者黑客,归根到底就是技术员。术业有专攻,不要幻想太多,这个工作只能带给你一份稍好一点的薪资,还有你的的自信,别的就很少了。
OK,上面3点扣心自问,如果就是真喜欢,就是爱学习相关知识,甚至超过了对金钱的热爱。嗯嗯 要毫不犹豫的选择这个行业。
确认无误后,那如何进入这个行业?
这个行业目前入门门槛还不高,但窗口期只有未来2年时间了,以后估计要内卷(其实内卷已经开始~)。所以要尽快学好一个短平快易上手的技能点,速速入行。建议按照一定的学习路线走。
阶段1:基础入门
一、网络安全导论
网络安全行业简介
网络安全意识与法律法规
网络安全管理
等保测评
二、渗透测试基础
渗透测试
主机攻防演练
信息搜集技术
Web信息搜集技术
漏洞扫描
漏洞利用
后期利用
渗透报告
三、网络基础
计算机网络简介
计算机网络安全
四、Linux操作系统基础
操作系统
Windows系统常见功能和命令
Kali Linux系统常见功能和命令
操作系统安全
五、Web安全基础
Web前端基础
Web安全漏洞
六、数据库基础
数据库简介
SQL语言基础
数据库安全加固
七、编程基础
PHP编程基础
Python编程基础
八、CTF基础
CTF简介
密码学基础
CTF竞赛题型
学完以上内容,基本上可以入行网络安全,达到NISP二级/CISP水平,就业安全运维工程师,等保测评工程师。
阶段2:技术进阶
一、弱口令与口令爆破
弱口令基本概念
口令爆破
二、XSS漏洞
XSS漏洞利用与防御
XSS绕过方法
大小写绕过
三、CSRF漏洞
CSRF简介(Cookie和Session基础)
CSRF攻击原理和类型
CSRF防御
四、SSRF漏洞
SSRF简介、成因与危害
SSRF的挖掘与利用
SSRF实例
SSRF防御与绕过
五、XXE漏洞
XXE简介与XML基础
XXE漏洞原理与分类
XXE高阶利用与防御
六、SQL注入
注入分类
注入检测
绕过技巧
七、任意文件操作漏洞
任意文件上传
服务器解析漏洞
任意文件下载
文件包含漏洞
八、业务逻辑漏洞
业务逻辑漏洞基础
验证码突破、认证安全、业务授权安全、业务一致性安全
业务流程乱序、业务数据篡改、业务接口调用
用户输入合规性、时效绕过测试、密码找回漏洞
第二阶段的结束,意味着你正式步入网络安全行业,各大岗位你都有能力去做,比如安全服务工程师、安全运营工程师、渗透测试工程师、安全研究员。预计综合年收入25w+。
阶段3:高阶提升
一、反序列化漏洞
反序列化漏洞原理和成因
序列化与反序列化概念
PHP反序列化
魔法函数
Java反序列化
反序列化漏洞利用案例与防御方法
二、RCE
命令执行函数、漏洞点、成因以及危害
命令执行案例详解(命令连接符||、|、&&、&、;等)
代码执行函数、漏洞点、成因以及危害
代码执行案例详解(命令连接符||、|、&&、&、;等)
三、综合靶场实操
中间件
热门框架:thinkphp、锐捷网关、Struts
Editor编辑器
cms系统
OA系统
四、内网渗透
工具简介:meterpreter端口转发与代理\Proxifier、regeorg\earthworm、mimikatz
转发与代理
远程管理
实验演示
域渗透
五、流量分析
工具使用:Wireshark、Tcpdump
实验演示:数据包分析(chopper与sqlmap流量分析)
六、恶意代码分析
工具使用:常见的Webshell及其连接工具
实验演示:恶意进程、Webshell扫描(d盾、egrep)
七、应急响应
windows命令及工具
linux命令及工具
应急响应流程
八、实战训练
应急与攻防演练
护网行动和重保项目
真实CTF比赛
等保测评进场
安全运维驻场
安全测试与评估
网站安全巡检
渗透测试实战
第三阶段的结束,你将彻底掌握渗透测试、漏洞挖掘、安全检查,意味着目前市面上所有有关网络安全相关的岗位你都可以上岗,综合年收入30w+。
更高级别的还有红蓝对抗等等,那就是另一番天地了。
为了帮助大家更好的塑造自己,成功转型,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
网络安全/黑客零基础入门
【----帮助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是"如何行动",其实是"无法开始"。
几乎任何一个领域都是这样,所谓"万事开头难",绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
本文转自 https://blog.csdn.net/Spontaneous_0/article/details/154743041?spm=1001.2014.3001.5502,如有侵权,请联系删除。