一、基础夯实(1-2个月)
你的网络运维基础已经很好,这一阶段是补齐安全视角。
| 学习内容 | 具体做什么 | 推荐资源 |
|---|---|---|
| 计算机网络(复习+安全视角) | 重点理解 TCP 三次握手的攻击面、HTTP 请求走私、DNS 隧道 | 《计算机网络自顶向下》、Wireshark 抓包分析 |
| OWASP Top 10 | 逐个理解:SQL注入、XSS、CSRF、SSRF、文件上传、RCE | PortSwigger Web Security Academy(免费靶场) |
| Linux 安全加固 | 你本身用 RHEL/中科方德,这步是强项------学 SELinux、auditd、fail2ban | 直接拿你的内网服务器练手 |
| 工具上手 | 装 Kali Linux(虚拟机)、学 nmap / Burp Suite / sqlmap | Burp Suite 官方教程、Kali 自带文档 |
💡 你的优势:日常运维中那些交换机配置、ACL规则、VLAN划分,本身就是网络安全的基础,你比纯开发出身的人起步快得多。
二、技能进阶(2-3个月)------ 你最该发力的阶段
① 渗透测试实战
| 模块 | 要点 |
|---|---|
| 信息收集 | 子域名枚举、CDN 绕过、指纹识别 |
| 漏洞利用 | SQL注入(手工 + sqlmap)、文件上传绕过、命令执行 |
| 内网渗透 | 这是你的主场------你本来就管内网设备,理解域环境、AD域、端口转发 |
② Java 代码审计(你的核心优势)
你日常写 Java+Vue,这一块是别人要花大量时间学、你天然会的:
| 审计重点 | 说明 |
|---|---|
| 反序列化漏洞 | Fastjson / Jackson / 原生反序列化 --- CTF高频考点 |
| SpEL 注入 | Spring 表达式注入 |
| SQL注入 | MyBatis 的 ${} 写法 vs #{} |
| JWT 安全 | 你维护的可视化系统大概率用了 JWT,直接拿自己项目练手 |
推荐工具:Fortify SCA、SonarQube、IDEA 插件 FindBugs
推荐书籍:《Java 代码审计实战》《白帽子讲 Web 安全》
③ 内网渗透(你的天然护城河)
| 技能 | 为什么你适合学 |
|---|---|
| 横向移动 | 你清楚内网拓扑,知道哪些段可以通 |
| 权限维持 | 你日常做运维,理解系统哪些位置可以留后门 |
| 域渗透 | 如果单位有 AD 域,直接实战 |
| 隧道穿透 | frp / ngrok / 反弹 shell |
💡 建议:直接用你维护的 Java 可视化系统做代码审计练习(在自己本机搭环境,不要碰生产)。你每天接触的网管设备、堡垒机、日志系统,都是真实的攻防场景。
三、竞赛实战(3-6个月)
CTF 五大题型及你的侧重点
| 题型 | 说明 | 你的建议策略 |
|---|---|---|
| Web(重点) | SQL注入、文件上传、SSRF、RCE | ✅ 你的主攻方向,结合 Java 审计 |
| Pwn | 二进制漏洞利用 | ⚠️ 需要学 C/汇编,量力而行 |
| Reverse | 逆向工程 | ⚠️ 入门即可 |
| Crypto | 密码学 | 掌握基础 RSA/AES 即可 |
| Misc | 杂项(流量分析、图片隐写) | ✅ 你的运维经验很匹配 |
AWD(Attack With Defense)模式
这是比赛中最激烈的形式:
- 防守:给你的服务器打补丁、加 WAF ------ 你日常工作就在做
- 攻击:找到对手服务器的漏洞拿 flag ------ 靠阶段二的渗透功底
- 你的运维经验在这里就是开挂:别人还在学怎么部署,你已经把服务加固好了
推荐靶场和平台
| 平台 | 地址 | 适合阶段 |
|---|---|---|
| 攻防世界 | adworld.xctf.org.cn | 入门到进阶 |
| BugKu | bugku.com | 新手友好 |
| HackTheBox | hackthebox.com | 渗透实战 |
| Vulnhub | vulnhub.com | 下载虚拟机本地打 |
| Buuctf | 直接在 GitHub 搜 | CTF 题库合集 |
四、以赛代练 + 反哺工作(长期)
可以参加的赛事
| 赛事 | 时间 | 说明 |
|---|---|---|
| 强网杯 | 每年约 6-7月 | 国家级 CTF,影响力大 |
| 护网杯 | 每年约 9-10月 | 工业互联网安全 |
| XCTF 联赛 | 全年多站 | 国际赛事,水平高 |
| 各省市CTF | 不定期 | 本地参赛压力小,适合起步 |
| 网络安全攻防演练(HW) | 每年约 7-9月 | 实战级,企业参与为主 |
如何反哺工作
| 攻防技能 | 工作落地 |
|---|---|
| 代码审计能力 | 给你们的可视化系统做安全自检 |
| 渗透测试 | 定期对内网做安全评估,发现真实风险 |
| 应急响应 | 出了安全事件你能第一时间溯源 |
| 安全培训 | 你本来就在负责培训,把学到的融入课程 |
📋 我给的具体执行建议
第一个月: 学完 OWASP Top 10,装好 Kali,做 20 道攻防世界 Web 题
第二个月: 跑一遍你维护系统的代码审计,写一份安全报告
第三个月: 学内网渗透(域环境 + 隧道),在 Vulnhub 打 5 台靶机
第四个月: 组队报名一次 XCTF 分站赛,感受比赛节奏
第五个月: 参加护网杯或强网杯,目标是进入前 50%
第六个月: 总结比赛经验,输出内部安全培训课程