基礎到入門的學習路線
一、網路安全
網路基礎
網路概述
(行業背景+就業方向+課程體系結構)
Vmware
IP地址的概述與應用
DOS命令與批處理
Windows服務安全
用戶管理
破解系統用戶密碼
NTFS許可權
文件伺服器
DNS服務
DHCP服務
IIS服務
活動目錄
域控管理
組策略(一)
組策略(二)
安全策略
PKI與證書服務
windows安全基線
Windows server 2003安全配置基線
階段綜合項目一
乙太網交換與路由技術
回顧windows服務
OSI協議簇
交換機的基本原理與配置
IP包頭分析與靜態路由
分析ARP攻擊與欺騙
虛擬區域網VLAN
VTP
單臂路由與DHCP
子網劃分VLSM
高級網路技術
回顧
三層交換
ACL-1
ACL-2
網路地址轉換
動態路由協議RIP
ipsec VPN
VPN遠程訪問
網路安全基線
Cisco基礎網路設備安全配置基線
安全設備防護
防火牆原理及部署方式
防火牆高級配置
IDS
WAF
階段綜合項目二
二、服務安全
Linux安全運維
Linux操作系統介紹與安裝與目錄結構分析
Linux系統的基本操作與軟體安裝
Linux系統下用戶以及許可權管理
網路配置與日誌伺服器建立應急思路
建立php主頁解析以及主頁的訪問控制
Nginx服務都建立以及tomcat負載均衡
iptables包過濾與網路地址轉換
實用型腳本案例
階段綜合項目三
三、代碼安全
前端代碼安全
HTML語言
CSS盒子模型
JS概述與變數
JS數據類型
JS函數
程序的流程式控制制
條件判斷與等值判斷結構
循環結構
JS數組
資料庫安全
sqlserver
access
oracle
mysql
後台代碼安全
PHP基礎
PHP語法
PHP流程式控制制與數組
PHP代碼審計中常用函數
PHP操作mysql資料庫
PHP代碼審計(一)
PHP代碼審計(二)
Python安全應用
初識python上篇
初識python下篇
基礎進階與對象和數字
字元串列表和元祖
字典條件循環和標准輸入輸出
錯誤異常函數基礎
函數的高級應用和模塊
面向對象編程與組合及派生
正則表達式和爬蟲
socket套接字
四、滲透測試
滲透測試導論
滲透測試方法論
法律法規與道德
Web 工作機制
HTTP 協議
Cookie 與session
同源策略
情報收集
DNS
DNS 解析
IP 查詢
主機測探與埠掃描
網路漏洞掃描
Web 漏洞掃描
其他工具
口令破解
口令安全威脅
破解方式
windows 口令破解
Linux 口令破解
網路服務口令破解
在線密碼查詢網站
常見的漏洞攻防
SQL 注入基礎
四大基本手法
其他注入手法
SQLmap 的使用
XSS 漏洞概述
XSS 的分類
XSS的構造
XSS 的變形
Shellcode 的調用
XSS 通關挑戰
實戰:Session 劫持
PHP 代碼執行
OS 命令執行
文件上傳漏洞原理概述
WebShell 概述
文件上傳漏洞的危害
常見的漏洞攻防
PUT 方法上傳文件
.htaccess 攻擊
圖片木馬的製作
upload-labs 上傳挑戰
Web容器解析漏洞
開源編輯器上傳漏洞
開源CMS 上傳漏洞
PHP 中的文件包含語句
文件包含示例
漏洞原理及特點
Null 字元問題
文件包含漏洞的利用
業務安全概述
業務安全測試流程
業務數據安全
密碼找回安全
CSRF
SSRF
提權與後滲透
伺服器提權技術
隧道技術
緩沖區溢出原理
Metasploit Framework
前言
urllib2
SQL 注入POC 到EXP
定製EXP
案例:Oracle Weblogic CVE2017-10271 RCE
案例:JBoss AS 6.X 反序列化
五、項目實戰
漏洞復現
內網靶機實戰
內網攻防對抗
安全服務規范
安全眾測項目實戰
外網滲透測試實戰
六、安全素養
網路安全行業導論
網路安全崗位職責分析
網路安全法認知
網路安全認證
職業人素質
『貳』 網路攻防:攻擊機(Ubuntu)和靶機(win2000server)的搭建
【目標】:要使【實際主機】、【攻擊機】、【靶機】三方互相ping通
一、搭建靶機
點擊下一步->完成
二、配置虛擬機win2000server的網路
實際主機:屬性->啟用
當虛擬機滑鼠在虛擬機中出不來時,可以按Ctrl+alt鍵釋放
三、查看靶機IP
登陸賬號:Administrator密碼:mima1234
硬體向導選「否」
打開「運行」-->鍵入cmd
得到靶機IP地址為:192.168.67.129
四、從實體主機ping一下靶機
所以,【實體主機-靶機】互通
五、搭建攻擊機(Linux-Ubuntu)安裝方法同上,以下列舉不同的地方
六、開啟攻擊機(Ubuntu)
Login:root
password:toor
回車:
輸入:root@bt:~#startx(進入Ubuntu的圖形化界面)
點一下如下圖所示的圖案:打開terminal
輸入:root@bt:~#ifconfig(查看Ubuntu的IP地址)
得到Ubuntu的IP地址為:192.168.67.128
七、在攻擊機上檢查【攻擊機-實體主機】和【攻擊機-靶機】是否能ping通
查看實體主機IP地址:+R-->cmd
C:\Users\acer>ipconfig(查看ip地址)
得到實體主機的IP地址為:10.201.212.16
打開Ubuntu的terminal,嘗試【攻擊機-實體主機】ping
嘗試【攻擊機-靶機】ping
『叄』 如何搭建Linux 攻擊的靶機,用來進行網路安全演示
虛擬機還是不錯的,我的日常系統就是kail linux 然後裡面裝了個vmware 在裝個ubuntu 不就行了嗎
『肆』 網路安全如何入門
零基礎、轉專業、跨行等等都可以總結為,零基礎或者有一點基礎的想轉網路安全方向該如何學習。
要成為一名黑客,實戰是必要的。安全技術這一塊兒的核心,說白了60%都是實戰,是需要實際操作。
如果你選擇自學,需要一個很強大的一個堅持毅力的,還有鑽研能力,大部分人是東學一塊西學一塊兒,不成體系化的紙上談兵的學習。許多人選擇自學,但他們不知道學什麼。
再來說說,先學編程還是滲透,
很多人說他們想學編程,但是在你學了編程之後。會發現離黑客越來越遠了。。。
如果你是計算機專業的,之前也學過編程、網路等等,這些對於剛入門去學滲透就已經夠了,你剛開始沒必要學那麼深,有一定了解之後再去學習。如果是轉專業、零基礎的可以看我下面的鏈接,跟著公開課去學習。
B站有相關零基礎入門網路安全的視頻
快速入門
另外說一句,滲透是個立馬可以見效的東西,滿足了你的多巴胺,讓你看到效果,你也更有動力去學。
舉個栗子:你去打游戲,殺了敵人,是不是很舒服,有了反饋,滿足了你的多巴胺。
編程這玩意,周期太長,太容易勸退了,說句不好聽的,你學了三個月,可能又把之前學的給忘了。。。這又造成了死循環。所以想要學網安的可以先學滲透。在你體驗了樂趣之後,你就可以學習編程語言了。這時,學習編程語言的效果會更好。因為你知道你能做什麼,你應該寫什麼工具來提高你的效率!
先了解一些基本知識,協議、埠、資料庫、腳本語言、伺服器、中間件、操作系統等等,
接著是學習web安全,然後去靶場練習,再去注冊src挖漏洞實戰,
學習內網,接著學習PHP、python等、後面就學習代碼審計了,
最後還可以往硬體、APP、逆向、開發去學習等等
(圖片來自A1Pass)
網路安全學習實際上是個很漫長的過程,這時候你就可以先找工作,邊工邊學。
怎麼樣能先工作:
學完web安全,能夠完成基本的滲透測試流程,比較容易找到工作。估計6到10k
內網學完估計10-15k
代碼審計學完20-50k
紅隊表哥-薪資自己談
再來說說如果你是對滲透感興趣,想往安全方面走的,我這邊給你一些學習建議。
不管想學什麼,先看這個行業前景怎麼樣--
2017年我國網路安全人才缺口超70萬,國內3000所高校僅120所開設相關專業,年培養1萬-2萬人,加上10
-
20家社會機構,全國每年相關人才輸送量約為3萬,距離70萬缺口差距達95%,此外,2021年網路安全人才需求量直線增長,預計達到187萬,屆時,人才需求將飆升278%!
因為行業人才輸送與人才缺口的比例問題,網路安全對從業者經驗要求偏低,且多數對從業者學歷不設限。越來越多的行業從業者上升到一定階段便再難進步,很容易被新人取代,但網路安全與其他行業的可取代性不同,網路安全工程師將在未來幾十年都處於緊缺狀態,並且,對於防禦黑客攻擊,除了極少數人靠天分,經驗才是保證網路安全的第一法則。
其次,不管是什麼行業都好,引路人很重要,在你剛入門這個行業的時候,你需要向行業里最優秀的人看齊,並以他們為榜樣,一步一步走上優秀。
不管是學習什麼,學習方法很重要,當你去學習其他知識時候,
都可以根據我下面介紹的方法去學習:
四步學習法
一、學習
二、模仿
三、實戰
四、反思
說在前頭,不管是干什麼,找到好的引路人很重要,一個好老師能讓你少走很多彎路,然後邁開腳步往前沖就行。
第一步,找到相關資料去學習,你對這個都不了解,這是你之前沒接觸過的領域,不要想著一次就能聽懂,當然天才除外(狗頭滑稽),聽完之後就會有一定的了解。
第二步,模仿,模仿什麼,怎麼模仿?先模仿老師的操作,剛開始可能不知道啥意思,模仿兩遍就會懂一些了。
第三步,實戰,怎麼實戰?先去我們配套的靶場上練習,確定靶場都差不多之後,再去申請成為白帽子,先去挖公益src,記住,沒有授權的網站都是違法的。(師父領進門,判刑在個人)
第四部,反思,總結你所做的步驟,遇到的問題,都給記錄下來,這個原理你理解了嗎?還是只是還是在模仿的部分養成做筆記的習慣。
學習方式有了,接下來就是找到正確的引路人進行學習,一個好的引路人,一個完整的體系結構,能讓你事半功倍。
『伍』 網路安全中怎麼在靶機上添加賬號密碼
一般常規的做法是,通過低級賬號登錄靶機,進行賬戶提權,提權後,再新增隱藏賬號,至於如何提權,可以去網路一下。
『陸』 網路安全工程師,要安裝虛擬機嗎
首先,網路安全工程師要用到很多用於滲透測試的攻擊,而很大這類軟體是」有毒的「,所以裝個虛擬,再虛擬機上運行這些軟體是計較好的方法。
其次,假如你是剛入門,很難在實際網站中找打攻擊的目標,這時候你就需要在虛擬機上搭建靶機,供你測試學慣用。
所以介於以上兩點,我認為是要裝虛擬機的。
『柒』 如何學習網路安全
如果你是一個完全經驗的新手,想轉行網路安全,我們建議
第一步:需要了解整個行業的全貌
當你想快速進入一個行業的時候,第一步不是直接開始學習,而是梳理這個行業的知識體系,或者你這個行業所需要的掌握的必備能力,然後一步一步進行拆解。
這樣的好處在於,第一能夠清晰的理清楚你需要真正掌握的技能點,第二能夠增強執行力,因為當你拆解成各個能力模塊的時候,你的執行力會提高,因為你知道你需要每天做什麼。
相信很多新手想入門網路安全都知道,一般建議都是從Web安全入手,這不需要你有很多代碼等專業知識,更容易找到成就感增加你的學習興趣,因此,第一步,建議從Web安全方向入手,為了讓你快速入門Web安全,可以從我們針對上百家企業的Web安全工程師崗位做的深度調研,總結出的Web安全學習路徑,幫你建立Web安全整體知識體系。
web案例學習路線圖
第二步:加強實戰訓練
我們知道,任何職場上的能力,都需要通過實操才能確認是否真正掌握,而網路安全,實操技能要求比其他崗位更強,因此,每學完一個技能,你都需要去實操練習,這里推薦的實操平台
第三步:記筆記
每個知識點的學習,要詳細的記錄筆記的學習中遇到的問題,解決這個問題的思路,哪裡還有別的思路可以解決?後續再有類似的問題出現,我們就可以去看當初的筆記,進行鞏固,常言道:好記性不如爛筆頭(前輩們經過多年推敲的總是,不是沒有道理的)
最重要是 要不斷在學習,因為這個行業 技術更新頻次很快