標籤:

各位自學網路安全的朋友們,你們的路線是什麼?

01-04

本人在自學網路安全,想看看各位的學習路線是啥,各位也可以做一下學習網路安全以來的總結。

學習一年祭

ccnp出身,剛開始從ctf開始做題,然後發現wp都看不懂,然後草草學了一點php,mysql.javascript的皮毛,因為著急挖洞啥的,又去學sql注入xss教程啥的,然後又看各種滲透教程,網上搜羅了一堆工具,自己折騰了有半年吧,覺得自己傻逼的不行,然後從頭學php開發,學python

我覺得正確的思路應該是一邊學開發,一邊學相關的漏洞,比如學了javascript,就去學xss,csrf,自己學寫蠕蟲。學了php,自己去試試相關的洞,自己去寫寫自己的webshell

一定要自己寫代碼,搭環境復現,自己抓包,自己做流量分析,少用現成的,不要盲目追求成果,刷什麼補天之類的榜單,看了大牛文章要自己動手去復現,看了不動手,別人的還是別人的,還有python真的是神器

像我一樣折騰半天再回頭補基本功。。真的很傻逼。。

順便吐個槽。。崇拜一下大佬沒什麼壞處,時刻保持謙遜好學才是一個好的態度。。。但是一天到晚無腦發膜膜膜是不能能提升技術的,跟在大佬身邊是學習的,不是跟誰說一句我認識誰誰誰就能提升自己的

以上

#######

啊,對了。。國內外相關會議我覺得初學者會後看看ppt視頻之類的就可以了,一個是對大部分學生黨來說,往返食宿加上門票錢真的挺貴的,而且這種場合的交流和聯絡對我們這種誰都不認識或者誰都不認識自己的人來說。。。。真的沒啥交流。。跟敬仰的大神厚著臉過去聊幾句合個影,後面也還有一堆人排著隊呢

非野路子,課上基礎和理論,課後自學,看文章和視頻,搭站實踐,跟表哥們交流,參加一些CTF比賽,寫點筆記和總結,偶爾敲敲代碼,剩下就玩,就這樣。

走錯路是常態

正確是不斷試錯得出來的

作為一個二進位弱渣。先是啃了一下彙編語言,然後開始搞逆向,之後跟著工作室打了幾次比賽之後發憤圖強開始學習pwn。從棧溢出到堆溢出,各種常用的攻擊手段。然後開始刷pwnable。

暑假的時候到上交的gossip實習了一段時間,發現自己所掌握的知識和實際的東西差的還是有點多。也算在完成工作的過程中學了很多東西吧。這期間又打了一下sha2017和xctf新加坡站,也發現了自己很多不足的地方。

接下來的話準備學一學windows下的pwn和kernel pwn,順便也系統的學一遍操作系統,還有一些工具的使用。

想了一想差不多入坑一年了,也算是總結了一下這一年幹了些什麼?

1,學習python,然後編寫一些爬蟲。

2,看小迪/cracer/邊界二期/等一些好的培訓班教程。

3,學習HTML,css,php,mysql,算是補前面丟下的大坑。

4,這個其實是2和3的綜合,本地搭建環境,漏洞復現,理解漏洞,然後玩一些漏洞靶場。

同時,也可以搭建一些線上的網站玩玩,或者搭建一個博客啥的。

5,基本到這一步就差不多該會的漏洞都會了,然後開始刷烏雲漏洞庫,和實戰性的挖掘漏洞。(烏雲漏洞庫可以刷好久,,一直很受用。)

6,剩下的就是沉澱期了,,,如果覺得沉澱的增長的技巧太慢的話,就開始複習php+mysql下,然後學代碼審計。

7,其實自學沒啥步驟,,,每個人有每個人的悟性,也有每個人的玩法,別人的方法也不一定適合你,你得找你自己的學習方法,畢竟自學。

剛開始的時候沒什麼捷徑,大師傅們肯定也是一邊對著書本一邊對著屏幕敲代碼入的門。等到積累了一定量的滲透經驗,才能看見「野路子」。其實最好還是加入一個安全團隊/CTF戰隊多認識些志同道合的人,你想想是一個人在寢室敲代碼學得快,還是找幾個關係不錯的小夥伴一起邊吃火鍋邊聊聊chrome最新的洞或者是上次日站的思路學得快。畢竟網路安全很多點確實不是按照常規的思路來走的,得多交流多碰撞才能產生火花對吧。

不過在那之前呢,與其糾結學習路線什麼的不如多問問自己:「我已經日過幾個站了?」

大概就是

我寫的網站咋被黑了…emmm原來是注入啊…注入是個啥……

我寫的程序咋崩了…哦棧溢啊…為啥是防止這個地址呢…

  1. 工具
    1. 先用 AWVS 掃幾個測試網站大體了解一下
      1. http://testphp.vulnweb.com/
      2. http://testhtml5.vulnweb.com
      3. http://testasp.vulnweb.com
      4. http://testaspnet.vulnweb.com
    2. 把掃到的漏洞復現,了解怎麼利用,主要了解:
      1. XSS
      2. SQL 注入
      3. 遠程代碼執行
  2. 開發
    1. 書籍
      1. 《細說 PHP》
    2. 實踐
      1. 使用 PHP 寫一個列目錄的腳本,可以通過參數列出任意目錄的列表
      2. 使用 PHP 抓取一個網頁的內容並輸出
      3. 使用 PHP 抓取一個網頁的內容並寫入到Mysql資料庫再輸出
  3. 安全
    1. 實踐
      1. 手工找 http://testphp.vulnweb.com/ 的漏洞,對比 AWVS 的結果
    2. 書籍
      1. 《黑客攻防---web安全實戰詳解》
      2. 《安全之路:Web滲透技術及實戰案例解析(第2版)》
      3. 還是看不懂就找自己能看得進的 Web 安全的書

謝邀!

只說一句話,希望能和你成為朋友,都是走野路子的人

同自學 IOT出身 所以從misc起手的 然後搞了一段WEB 現在學習開發和逆向 覺得從自己喜歡有經驗的地方開始最好也最快 畢竟方向很多 因人而異 如果目前只有熱情沒有明確目標 不妨多嘗試

謝邀~

問了一圈坐在對面的研發,幾乎沒有是信息安全專業出身的,看來大家都走野路子。

對於自學網路安全我們有一個系統全面的回答,請查看:知道創宇研發技能表v3.0,裡面講了方法論、工具、參考網站和書籍。

引用大神的一句話:我們每個人都擁有自己的一棵技能樹,有大有小。隨著時間的推移,我們的技能樹一定是持續完善的,當這棵樹越來越大越來越完善時,我們的世界觀也隨之完善了起來。

祝願題主的技能樹早日枝繁葉茂。

您好,我們是15PB信息安全教育,希望我的答案能給予你幫助。

我不知道你具體學的網路安全哪一方面?

我的建議是:市面上的網路安全工作,虛職比較多,想從事這方面的工作,我希望你能具體了解這一方面的具體工作,用人單位的用人標準,都需要掌握哪些知識和能力,在對口學習,這樣方向更好一些。多看幾家,綜合對比看看那些工作技能是必須掌握的。就學哪個。

其次我的建議:安全的道路主要是web安全,底層安全,網路安全。

你說指的網路安全虛職比較多,也就是市面上的網路安全工作不會涉及太深的技術含量,如果你止步於當前工作,對你以後的職業路線發現不是很好。網路安全你要有意識的深入學習落實到實踐,擴充知識寬度,還是可以的。

web安全注重的是手段和思維,技術含量相對高些,大部分工作是對工具和腳本的熟練使用。以網站數據為主,但是需要的基礎知識較少(腳本+資料庫+HTTP協議+例如正則表達式或瀏覽器特性等)。

底層安全,可以說純技術類工作,涉及到眾多編程語言,安全知識,比如比較高端的逆向、加殼脫殼、惡意代碼分析、反病毒、基於代碼層的漏洞挖掘等等。可以說是是所有安全類工作金字塔尖一樣的工作。難度自然和它的技術含量等比例。但是後期的發展和前景,在技術層面上要比web安全和網路安全更好一些。

謝謝邀請。

說說自己吧,我是電子信息工程專業。

學的第一門計算機語言是c語言,做了幾個dos的管理系統,socket聊天窗口。

接著學了51單片機,做了避障小車,知道了彙編是什麼,知道了什麼是時序,什麼是中斷。

然後學習了java,學習java的過程中,看了許多知識點,tomcat,tcp協議,mysql資料庫,html等等,這裡比較亂,因為學習的過程中會學習別的知識點,主線還是java,做了很多客戶端的應用,管理系統,五子棋,2048,websocket的聊天室,還接了外包賺了萬把塊。

大三寒假找了本地的外包公司寫代碼,50一天,熟練cv。

大三開學學習了Android應用的構建和細微的知識點,做了幾個app,鬧鐘,新聞瀏覽之類的。

到這裡都和安全沒有關係,題主可以看到,我在這個過程也很迷茫,但是我一直在學習。

大三暑期實習,我進了國內知名的安全廠商,開啟了安全之路。

七月份入職,很感謝大家給我提供的幫助,尤其是我的導師。

七月份學習了Android的安全,應用和服務端的安全,懂了點逆向。

八月份擼完了一本劍指offer,牛客網擼了點題。

後來在安全的道路越走越遠,直到現在。

什麼時候都不要放棄學習。

想起了大學時光,懷念。

二進位:C C++ 彙編 編譯原理 《加密與解密》 玩各種CrackMe 《0day安全》

web:HTML HTTP PHP/JS/SQL web安全常見漏洞(SQL注入/xss/csrf等)(理論+實踐) 工具使用(awvs/burpsuite/kali linux之類的)

順序從左到右

多看文章,多刷論壇,復現已知漏洞(尤其是二進位,別只在metasploit裡面跑跑,用調試器和IDA自己過一遍)

論壇就刷刷看雪,i春秋,這種,知乎上有很多其他回答專門推薦,就不說了

我很菜的,回答僅供參考

網路安全的路子很多,每個人走的路可能都不一樣,至於如何去走,那就要看自己的興趣了,沒有興趣是很難繼續走下去的。

記得在學校上大一的時候,最開始就是看視頻,各種網路上流傳的黑客教程,可以說入門就是走的野路子,但是那時候做這些很有興趣,為的就是能把我們學校的網站拿下來,老師也給我們說讓我們放心去搞,有事他擔著,這給了我很大的信心,從而學習到各種滲透技巧並沉浸在這種快感之中。

再後來逐漸認識到理論和基礎的重要性,不得不去學習編程知識和計算機基礎知識。現在看來,網路安全可以從野路子入門,這會給你一定的信心,但是後期必須要回歸到正路上來,不然很難在這條路上繼續走得更遠。

08年接觸到這個辭彙,開始摸爬滾打。

那時候各種小組成了我的入門技術學習地方,跟著大牛用啊D,學習了fck編輯器ewebeditor編輯器等等類型,後來每一個階段都會認識一個大哥,大哥帶領著我更上一層樓。從後來的法克,習科,烏雲,一點點學習,到現在發現,自己還是那麼菜。

@長短短 這種問題還是請dalao來回答,我這種野路子的啥都說不出來

先學的一些基礎開發,Html/CSS,PHP,SQL這些,然後一直穿插著打CTF,從CTF裡面學習相關的漏洞種類和姿勢。

然後就看以往的洞,試著去挖,遇到不會的就百度。現在在練JS,準備學著挖前端洞。

個人興趣偏向於審計,所以一般會收集源碼來練手。

順手膜樓上大佬們

甲方不說,說乙方,乙方很多公司是幫公案或者國案做項目的,他們不看你基礎有多好,就單單看你能不能日下他們指定的站,就這麼簡單。

c語言-html-js-css-c++-數據結構-操作系統-計算機網路-sql注入-ip地址隱匿-ip地址追綜-xss攻擊-

推薦閱讀:

如何評價 2016 年 3 月 1 日公布的 HTTPS DROWN Attack 漏洞?
黑客小軟體等等自身會不會帶毒,對於初學者到底可不可以下載書上推薦的黑客小工具?
普通PC機遠程桌面控制家裡電腦的安全程度如何?
黑客用什麼手機?
如何進行系統的黑客學習?

TAG:網路安全 | 黑客Hacker | 信息安全 |