安全之困——入门到进阶之惑解答

  • A+
所属分类:安全闲碎

安全之困——入门到进阶之惑解答

前言概述

    前后有很多人问我,安全该怎么学,今天正好是2021的第一天,我把自己的学习方法和思路共享给大家,愿大家能有所收获。

    网络安全这一行业说好上手就好上手但说难也难为什么有的人只用了几个月就构建好了对安全体系的大概认知,又为什么有的人学了几年还是无法进行独立渗透测试。

    首先要明确自己要学习的方向换句话说你需要制定一个目标是做一个安服工程师还是渗透测试工程师你想做一个病毒分析师还是应急响应工程师

    在你明确了自己的目标之后你应该去互联网进行大量的信息收集全方位了解每个职位究竟是做什么的这些收集途径包括但不限于BOSS直聘、搜索引擎、微信公众号

    经济基础决定上层建筑学习方向也会决定你以后会不会走偏接下来我会以渗透测试工程师为基础进行进行阐述

一、如何制定自己的学习路径

在你对自己的职业目标有了定位之后,你需要制定自己的学习路径,这里我推荐以下几个方面:

1.BOSS直聘

安全之困——入门到进阶之惑解答

2.知道创宇技能图https://blog.knownsec.com/Knownsec_RD_Checklist/index.html)

 

安全之困——入门到进阶之惑解答

3.红队技术图谱

 

安全之困——入门到进阶之惑解答

二、如何入门

接下来我会以图书为重点展开详细阐述,学习周期为我根据普通人学习效率+安全基础较为薄弱进行估算,仅供参考

第一阶段周期7

第一阶段不适合难度太大学习要靠兴趣驱动,常常有初学者看到大堆的概念和代码就会头晕,所以我的学习路径有一些不同。

逻辑漏洞是渗透测试常见漏洞中比较容易的一种漏洞首先掌握逻辑漏洞的通常测试手法和思路可以率先去挖掘一些项目漏洞建立自己的信心

burpsuite教程请在后台回复:burpsuite

web安全攻防渗透测试实战指南

要求了解web工作基础原理基础网络逻辑

BurpSuite使用基础及进阶

要求拦截数据包修改数据包重放数据包

Web攻防之业务安全实战指南

要求使用burpsuite跟着这本书的内容实操

中华人民共和国网络安全法


中华人民共和国刑法


第二阶段

在掌握了基本的web工作原理后开始尝试拓展知识周期60

DVWA漏洞利用

要求记忆漏洞名字以及利用手法

PHP开发自学经典

要求搭建留言板以及连接数据库进行登陆增删改查

零基础学JavaScript

要求javascript基本自主开发

黑客攻防技术宝典浏览器实战篇

要求精读

第三阶段

夯实脚本基础为后续进阶打下牢固的基础周期14

白帽子讲Web安全

要求精读

Web安全深度剖析

要求半精读

Kali Linux渗透测试技术详解

要求使用常用工具linux使用基础

第四阶段

进阶返璞归真周期60

PHP开发实战宝典

独立开发小型网站

数据库系统原理及MySQL应用

熟练掌握mysql

跟老男孩学Linux运维

熟练使用linux 查看日志 进程 shell脚本基础

Python黑客攻防入门

编写常用PoC 端口扫描器 目录扫描器

网络操作系统与应用:Windows Server 2012

了解win2012运维常用组件使用方法

Seay代码审计


第五阶段50

常见漏洞复现

Shiro weblogic apache iis 禅道 ......

常用的国内外安全工具

Nmap burpsuite nessus netsparker sqlmap等工具使用技巧

内网安全攻防渗透测试实战指南

了解内网常用的后渗透手段和工具

Metasploit魔鬼训练营


CobaltSrike使用


整个职业体系养成过程只需要使用看书+搜索引擎即可完成

在学习过程中可以搭配一些视频进行实操互联网也有很多公开或非公开的安全视频教程利益相关就不赘述了

三、如何高效学习

首先我给大家推荐一个appforest这个软件会为你记录你的学习历程如图

安全之困——入门到进阶之惑解答


还有一点就是切勿做笔记,就是你一边看书,一遍把书上的东西打到一个markdown里面,又或者看着视频,老师说的每一句、ppt上面的东西都抄下来,甚至你还会做一些精美的排版。这样的结果只是感动你自己,你会重新回去再看一遍嘛,并不会,相反在你抄笔记的时候,大脑已经脱离了安全体系,而是转移到笔记的布局、字体的好看与否,直接偏离了学习本质。所以我的建议是,在学习过程中,将不懂得东西随手记录下来课后进行学习,你可以在桌面上建立一个便签提醒自己学习。

其次要有一个强大的驱动力你可能听了一个小时的课程就会拿起手机刷抖音刷b站这是很正常的因为人天生是有惰性的

在学习的过程中,我教大家两个小技巧:

三分钟学习法每当你想玩手机的时候你把手机放到自己看不到的地方告诉自己三分钟内不碰手机去学习很快你就会摆脱手机

费曼学习法:在你学习完一个模块之后,自己去复盘,把自己当做一个讲师,考虑自己讲课该从哪讲起,应该讲到哪些内容,凡是卡住的地方便是需要加强的地方,

其实学习安全最重要的就是构建自己的安全体系,也就是自己有一套测试模型,后续的学习都是在不断的填充坚实模型我在教别人的时候更注重告诉他们如何做可以解决问题而不是帮他们做着解决问题我带过几个伙伴现在无论他们在参加hw或者参加项目都能取得不错的成绩。

道教学道修道,其目的就是要通过自身的修炼,使生命返复到大道本原的状态,回到生我之初的朴素、真实学习渗透测试离不开网页开发学习逆向二进制离不开C语言,安全也一样漏洞追其根本就是开发人员开发过程中的疏忽造成的那么当我们的技术到达一个瓶颈就需要回归本源回归到开发里寻找知识当你学完php开发后不妨去学习一下Thinkphp框架开发或许会有更多的收获

四、如何快速有效解决问题

1.搜索引擎是我们寻求帮助的第一方向尝试切换关键字搜索引擎语法来提高搜索精准度

2.各大安全社区i春秋freebuf看雪安全客等

3.技术交流群在技术交流群切勿提问“有没有burpsuite破解版啊”“谁能给我发一下某某exp”“啊d报错怎么办”“有waf怎么办”之类的弱智问题提问后记得说句感谢也可以发一个小红包表示谢意

4.微信公众号留言安全圈内有很多安全公众号你可以给他们留言寻求解答

五、如何在安全行业走的更远

    一个人可以走得很快但是如果想走得更远则需要有自己的圈子

    你可以做一个自己的博客把自己的学习笔记更新到上面供他人学习也可以加入一些高质量的安全团队及时关注圈内安全动态

    在日常与伙伴们交流中保持谦卑一切与违法内容靠边的东西一点都不碰勿忘初心方得始终

现在我在牵头做的一个面向国内所有人的信息安全文档翻译平台也值得大家关注一下,information security translation platform简称ISTP致力于国外安全论文漏洞挖掘报告国外热门工具使用文章翻译成员皆持GRE ILETS TOEFL 四六八级证书且具有坚实的安全基础,现在已经有许多伙伴积极参与翻译工作。目前平台还未开放,预计在2021年8月开放,敬请期待。

安全之困——入门到进阶之惑解答

如果你有兴趣加入我们或者想与我有技术上的交流欢迎加我微信gov-enigma

安全之困——入门到进阶之惑解答

2021将会是很好的一年,加油吧

本文始发于微信公众号(山丘安全攻防实验室):安全之困——入门到进阶之惑解答

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: