立志在網路安全領域發展,應該如何系統學習安全知識?

目前還在大學階段,立志往網路安全方向發展,應該如何系統學習。

比如要學習的基礎知識有 tcp/ip原理,各種網路協議,windows/linux操作系統,Linux C ,資料庫等

還不懂還還要學習哪些知識,對編程的要求高不高,本人對編程接觸比較少。

安全的範圍很廣,是否還需對軟體安全有研究,對於彙編什麼的本人比較頭疼

最後請推薦一些關於網路安全的書籍,以及一些可供學習的論壇(收費沒關係,但要有用的)


贊一下 @王音 的答案同時提幾點:

1. 網路安全非常之廣,一人想全面掌握在我看來是不可能的,但可以都有所了解,而精於一、二,我曾經的這篇批文供參考《我對什麼都感興趣,可我迷茫了》,核心思想是:精於一而悟道。所以王音給了如此全面的回答,對你也許是好事,但不也許是壞事,看你自己的理解;

2. 感謝王音同學推了我編寫的《知道創宇研發技能表v2.1》:http://blog.knownsec.com/Knownsec_RD_Checklist/v2.1.html(2014/3月份大概我會發出v2.2版本,會更漂亮),這份技能表我本來是給我知道創宇內部做的,後來進化到v2.1時就對外發布了,裡面總結了我從業安全圈六年的許多心得體會,其中我非常非常看中下面這段:

  • 牛人1,2,3

    • 1研究:研究東西,有足夠洞察力,研究水準不錯

    • 2研發:hack idea自己有魄力實現,不懂研發的黑客如同不會游泳的海盜

    • 3工程:研發出來的需要實戰、需要工程化,否則只是玩具,而不能成為真的武器

在我看來:如果一個黑客不具備1,2,3這三點,根本不合格,具備1,2,3的黑客多屌,你覺得呢?這正是我經常所說的具備創造力!

這份技能表也僅僅是網路安全中我所擅長的某些分支而已。

順便提下1:王音我認識很早,他早已具備「牛人1,2,3」,很多東西值得大家學習。

順便提下2:看了下王音的回答是2013年9月的,怎麼2014年2月才邀請我……:)


謝謝邀請。

  • 在回答這個問題之前,先廢話幾句

還好問主的方向沒有定位在信息安全(網路安全僅僅是信息安全的一個子集,信息安全的很多方面並不是信息技術本身,關乎運營和行政方面之內的……)

成為偉大黑客的關鍵在於做自己喜愛的事,要把一件事情做好,你必須熱愛它。所以只要你能堅持對安全技術的熱愛,到了這種程度,你就會做得更好。

  • 系統性的學習

技術的東西其實很容易學,操作系統、網路、資料庫等無非就是依葫蘆畫瓢,每兩個月讀一本安全相關的的好書,也就是每周35頁左右,用不了多久,你就會對我們的安全行業有深入的理解,並使自己不同於周圍的人。

計算機平台以外的信息技術可以到接觸網路安全的時候再學也無所謂,個人建議你可以在大學時代完善好自己的技術基礎,工作後再開始由淺入深的漸進過渡。

技術基礎包括:

對攻防技術的理解

OS、Network、Application、數據保護或相關、TCP/IP 協議封裝,外加研究一些相關的底層技術,如果對安全架構有些想法,就需要偏重學習網路方面的知識。

這裡推薦一下知道創宇的研發技能表:http://blog.knownsec.com/Knownsec_RD_Checklist/v2.1.html

  • 關於編程語言

問主如果想致力於軟體安全的話:學好C語言、彙編是必然的。

學習是永無止境的,也沒有固定的模式非要精通哪一門語言,這裡建議你可以選擇python作為你的常用語言(用作日常自動化非常方便),然後再根據自己的需求橫向擴展,選擇適合自己的學習方向。

  • 安全推薦書籍

信息安全經典書籍推薦:信息安全經典書籍

軟體安全書籍,看雪的安全圖書版塊有很好的推薦:安全圖書 - 看雪安全論壇

看雪論壇精華系列:看雪安全論壇

軟體安全的一些經典的網站和書籍:介紹一些經典的網站和書籍

很多時候,是否好好看完一本好書,對一個人的提升往往能達到質的區別。

上面那個豆瓣的鏈接是關於信息安全的幾本重量級的書單計劃,由於個人精力有限,一直未能完善,有點抱歉,還是可以參照讀一些的。

  • 安全推薦論壇

軟體安全

入門級:吾愛破解論壇-LCG-LSG|軟體安全

嶄露頭角:看雪安全論壇

WEB安全

WooYun(白帽子技術社區) -- 網路安全資訊、討論,跨站師,滲透師,結界師聚集之地又一個有意思的地方

其實有google搜索引擎就夠了,有什麼問題直接搜索:Google

系統安全

論壇-ChinaUnix.net

結束語:

曾經有一位很有潛質的小哥問道:"精通網路安全技術需要多長時間?",答:"你期待自己能活多長時間?",要在網路安全方面真正擅長需要一生的努力,還有不斷學習實踐的進取心。

每當你向某項技藝精通的目標邁出一步,你的目標就會向著更遠的方向移動兩步,要把臻於精通的目標作為一生的努力來擁抱。


概括來說,網路安全課程的主要內容包括:

安全基本知識

應用加密學

協議層安全

Windows安全(攻擊與防禦)

Unix/Linux安全(攻擊與防禦)

防火牆技術

入侵監測系統

審計和日誌分析

下面分別對每部分知識介紹相應的具體內容和一些參考書(。

一、安全基本知識

這部分的學習過程相對容易些,可以花相對較少的時間來完成。這部分的內容包括:安全的概念和定義、常見的安全標準等。

大部分關於網路安全基礎的書籍都會有這部分內容的介紹。

下面推薦一些和這部分有關的參考書:

《CIW:安全專家全息教程》 魏巍 等譯,電子工業出版社

《計算機系統安全》 曹天傑,高等教育出版社

《計算機網路安全導論》 龔儉,東南大學出版社

二、應用加密學

加密學是現代計算機(網路)安全的基礎,沒有加密技術,任何網路安全都是一紙空談。

加密技術的應用決不簡單地停留在對數據的加密、解密上。密碼學除了可以實現數據保密性外、它還可以完成數據完整性校驗、用戶身份認證、數字簽名等功能。

以加密學為基礎的PKI(公鑰基礎設施)是信息安全基礎設施的一個重要組成部分,是一種普遍適用的網路安全基礎設施。授權管理基礎設施、可信時間戳服務系統、安全保密管理系統、統一的安全電子政務平台等的構築都離不開它的支持。

可以說,加密學的應用貫穿了整個網路安全的學習過程中。因為之前大多數人沒有接觸過在這方面的內容,這是個弱項、軟肋,所以需要花費比其它部分更多的時間和精力來學習。也需要參考更多的參考書。

下面推薦一些和這部分有關的參考書:

《密碼學》 宋震,萬水出版社

《密碼工程實踐指南》 馮登國 等譯,清華大學出版社

《秘密學導引》 吳世忠 等譯,機械工業(這本書內容較深,不必完全閱讀,可作為參考)

三、協議層安全

系統學習TCP/IP方面的知識有很多原因。要適當地實施防火牆過濾,安全管理員必須對於TCP/IP的IP層和TCP/UDP層有很深的理解、黑客經常使用TCP/IP堆棧中一部分區或來破壞網路安全等。所以你也必須清楚地了解這些內容。

協議層安全主要涉及和TCP/IP分層模型有關的內容,包括常見協議的工作原理和特點、缺陷、保護或替代措施等等。

下面推薦一些和這部分有關的參考書(經典書籍、不可不看):

《TCP/IP詳解 卷1:協議》 范建華 等譯,機械工業出版社

《用TCP/IP進行網際互聯 第一卷原理、協議與結構》 林瑤 等譯,電子工業出版社

四、Windows安全(攻擊與防禦)

因為Windows更容易成為被攻擊的目標。

對於Windows安全的學習,其實就是對Windows系統攻擊與防禦技術的學習。而Windows系統安全的學習內容將包括:用戶和組、文件系統、策略、系統默認值、審計以及操作系統本身的漏洞的研究。

這部分的參考書較多,實際上任何一本和Windows攻防有關係的書均可。下面推薦一些和這部分有關的參考書:

《黑客攻防實戰入門》 鄧吉,電子工業出版社

《黑客大曝光》 楊繼張 等譯,清華大學出版社

《狙擊黑客》 宋震 等譯,電子工業出版社

五、Unix/Linux安全(攻擊與防禦)

隨著Linux的市佔率越來越高,Linux系統、伺服器也被部署得越來越廣泛。Unix/Linux系統的安全問題也越來越凸現出來。作為一個網路安全工作者,Linux安全絕對佔有網路安全一半的重要性。但是相對Windows系統,普通用戶接觸到Linux系統的機會不多。Unix/Linux系統本身的學習也是他們必須餓補的一課!

下面是推薦的一套Linux系統管理的參考書。

《Red Hat Linux 9桌面應用》 梁如軍,機械工業出版社(和網路安全關係不大,可作為參考)

《Red Hat Linux 9系統管理》 金潔珩,機械工業出版社

《Red Hat Linux 9網路服務》 梁如軍,機械工業出版社

除了Unix/Linux系統管理相關的參考書外,這裡還給出兩本和安全相關的書籍。

《Red Hat Linux安全與優化》 鄧少鵾,萬水出版社

《Unix 黑客大曝光》 王一川 譯,清華大學出版社

六、防火牆技術

防火牆技術是網路安全中的重要元素,是外網與內網進行通信時的一道屏障,一個哨崗。除了應該深刻理解防火牆技術的種類、工作原理之外,作為一個網路安全的管理人員還應該熟悉各種常見的防火牆的配置、維護。

至少應該了解以下防火牆的簡單配置。

常見的各種個人防火牆軟體的使用

基於ACL的包過濾防火牆配置(如基於Windows的IPSec配置、基於Cisco路由器的ACL配置等)

基於Linux操作系統的防火牆配置(Ipchains/Iptables)

ISA配置

Cisco PIX配置

Check Point防火牆配置

基於Windows、Unix、Cisco路由器的VPN配置

下面推薦一些和這部分有關的參考書:

《網路安全與防火牆技術 》 楚狂,人民郵電出版社

《Linux防火牆》 余青霓譯,人民郵電出版社

《高級防火牆ISA Server 2000》 李靜安,中國鐵道出版社

《Cisco訪問表配置指南》 前導工作室 譯,機械工業出版社

《Check Point NG安全管理》 王東霞譯,機械工業出版社

《虛擬專用網(VPN)精解》 王達,清華大學出版社

七、入侵監測系統(IDS)

防火牆不能對所有應用層的數據包進行分析,會成為網路數據通訊的瓶頸。既便是代理型防火牆也不能檢查所有應用層的數據包。

入侵檢測是防火牆的合理補充,它通過收集、分析計算機系統、計算機網路介質上的各種有用信息幫助系統管理員發現攻擊並進行響應。可以說入侵檢測是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

以上是比較老的一篇安全入門指導文章,來源網路。

了解這一塊知識的時候這篇文章給了我很大幫助。雖然裡面有些內容已經老了,但是整體的學習思路和知識架構的邏輯並沒有落後,所以分享出來給題主。

當然,學習的方法,上面的幾位大神說的很到位了,我這裡就只分享這麼多了。

另外呢,是一些學習資料的搜集,分類不是很清楚,題主湊合看吧~

http://www.sec-wiki.com/skill/ 安全技能(裡面滲透逆向編程都有介紹)

http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道創宇研發技能表v3.0

綜合學習平台:

http://edu.gooann.com/ 谷安網校

http://www.jikexueyuan.com/ 極客學院

http://www.hetianlab.com/ 合天

http://www.moonsos.com/ 米安網

http://www.ichunqiu.com/ i 春秋

http://www.honyaedu.com/ -紅亞

http://www.baimaoxueyuan.com/ 白帽學院

http://www.simplexue.com/ctf/index 西普學院

http://www.imooc.com/course/list 慕課

http://www.secbox.cn/ 安全盒子

http://www.freebuf.com/ freebuf

http://bobao.360.cn/ 360安全播報

http://www.wooyun.org/ 烏雲

http://drops.wooyun.org/ 烏雲知識庫

http://wiki.wooyun.org/ WooYun WiKi

https://www.91ri.org/ 91ri

https://www.t00ls.NET/tools

http://www.ijiandao.com/ 愛尖刀

http://www.secwk.com/article/index.html 威客眾測

http://bluereader.org/ 深藍閱讀

http://www.shentou.org/ 黑客安全軍火庫

http://netsecurity.51cto.com/ 51cto

http://security.csdn.NET/ csdn

http://www.80sec.com/ 80sec team

https://security.alibaba.com/blog.htm?spm=0.0.0.0.knOqaI 阿里巴巴安全響應中心

http://security.tencent.com/index.PHP/blog 騰訊安全應急響應中心 博客

http://security.360.cn/blog 360安全應急響應中心 博客

http://sec.baidu.com/index.PHP?research/list 百度安全應急響應中心 博客

博客推薦

http://security.tencent.com/index.php/blog

http://217.logdown.com/ 217

http://www.blue-lotus.Net blue-lotus 藍蓮花

http://blog.0ops.net/ 0ops

http://le4f.net/ e4f

http://www.programlife.net/ 代碼瘋子

http://www.hackdog.me/ redrain"blog

http://www.syjzwjj.com/ 俊傑

http://syclover.sinaapp.com/ 三葉草安全小組

http://appleu0.sinaapp.com/ appleU0大大

http://bl4ck.in/ tomato表哥

http://www.sco4x0.com/ 4叔叔

http://laterain.sinaapp.com/ 白神

http://0nly3nd.sinaapp.com/ 0nly3nd

http://hijacks.in/ LateRain"blog

http://www.waitalone.cn/ 獨自等待

http://evilcos.me/ 餘弦

http://www.moonsec.com/ 暗月

http://www.cnblogs.com/xuanhun/ 玄魂

https://www.leavesongs.com/ 離別歌

http://huaidan.org/ 鬼仔

http://www.03sec.com/ sky的自留地

http://joychou.org/ jc老師

http://www.unhonker.com/ 90"s blog

http://www1.taosay.net/ 道哥的黑板報

http://blog.knownsec.com/ 知道創於

http://www.sadk.org/ 焠安

http://www.cnseay.com/ seay"blog

http://blog.aptsec.net/ AptSec Team

http://lcx.cc/ 網路安全研究中心

http://www.kali.org.cn/ kali中文網

http://xiao106347.blog.163.com/ xiao106347 kali折騰

滲透:

http://www.wooyun.org/ 烏雲

http://bbs.blackbap.org/ 習科

http://www.1937cn.net/ 1937

http://forum.cnsec.org/ 暗組

http://www.k33nteam.org/ keen team

http://forum.eviloctal.com/ 邪惡八進位

http://www.evil0x.com/ 邪惡十六進位

http://www.myhack58.com/ 黑吧安全吧

http://www.cnhonkerarmy.com/ 中國紅客 紅盟

http://www.chinahacker.com/ 中國黑客聯盟

http://www.hxhack.com/ 華夏黑客聯盟

http://www.heikexiehui.com/ 中國黑客協會官網

http://www.hackbase.com/ 黑基

http://www.2cto.com/ 紅黑聯盟

http://bbs.2cto.com/ 紅黑聯盟論壇

http://www.hackwd.com/

http://www.heishou.com.cn/ 黑手安全網

https://www.sitedirsec.com/ 非安全中國網

http://www.zatokasztuki.com/ 學生技術聯盟

逆向

http://www.52pojie.cn/ 吾愛破解

http://bbs.pediy.com/ 看雪論壇

編程

http://www.he11oworld.com/ hello word

http://www.w3school.com.cn/ w3school

http://www.runoob.com/ 菜鳥

http://www.51zxw.net/

https://github.com/

http://navisec-Git.qiniudn.com/

http://c.biancheng.net/cpp/

http://www.liaoxuefeng.com/

http://www.php100.com/

https://ruby-china.org/wiki

http://bbs.csdn.net/forums/Java/

http://outofmemory.cn/tutorial/

書籍

http://zhuanlan.zhihu.com/Evi1m0/19706178 Evi1m0: 書籍推薦

http://www.douban.com/doulist/3339701/ 信息安全必讀書單

http://www.douban.com/doulist/1363865/ 信息安全經典書籍

http://www.zhihu.com/question/21390646

http://my.oschina.net/bluefly/blog/335409?utm_source=tuicoolutm_medium=referral Web安全核心書單

連載

《安全參考》http://www.douban.com/group/topic/72383272/ (2013年第一期--2015年第一期)全集

《書安》(更新中)

http://www.secbox.cn/hacker/8205.html 書安SecBook 第一期《icloud iOS安全大揭秘》

http://www.secbox.cn/hacker/7366.html 書安SecBook 第二期《信息安全攻防賽》

滲透實戰文章可以看看里的楊凡(http://blog.sina.com.cn/s/articlelist_1758675673_4_1.html)

和法克文章(http://pan.baidu.com/share/link?shareid=249629uk=2198816663)

工具(黑軟有分風險,最好在虛擬機里搞)

ftp://222.18.158.199/(校園網內網可以訪問,不僅僅只有工具哦,有許多總結,各方面的)

http://forum.cnsec.org/thread-94330-1-1.html 2015暗組工具包(滲透)

http://bbs.secbox.cn/thread-196-1-1.html 2015_安全盒子工具包

http://www.secbox.cn/hacker/tools/3552.html 法客論壇2015工具包-第三版

http://www.52pojie.cn/forum.php?mod=viewthreadtid=388015 吾愛破解工具包 2015/7/22(逆向)

http://down.52pojie.cn/ 愛盤 -- 在線破解工具包,教程,

http://www.52pojie.cn/thread-341238-1-1.html 吾愛破解論壇專用破解虛擬機

ctf常用工具包請看http://tieba.baidu.com/p/3933947157裡面群文件

其他

http://www.zhihu.com/topic/19558642 黑客知乎話題

http://www.zhihu.com/topic/20011446 ctf知乎話題

http://www.zhihu.com/topic/19561983 信息安全知乎話題

http://zhuanlan.zhihu.com/evilcos/19961466 餘弦知乎專欄

CTF方面

http://blog.idf.cn/2015/02/ctf-field-guide/

http://tieba.baidu.com/p/3933947157 ctf大全

https://ctftime.org/event/list/upcoming 各種CTF賽事預告

平時ctf練習

ctf逆向:

http://reversing.kr/

http://pwnable.kr/

http://exploit-exercises.com/

http://overthewire.org

http://security.cs.rpi.edu/courses/binexp-spring2015/ bin 乾貨區

http://www.52pojie.cn/forum-67-1.html 『2014CrackMe大賽』

SQL:

https://github.com/Audi-1/sqli-labs

http://redtiger.labs.overthewire.org/

ctf XSS:

http://prompt.ml/

http://xss.pkav.net/xss/

http://www.doscn.org/xss/

http://xss-quiz.int21h.jp/

http://escape.alf.nu/

ctf綜合練習:

http://hackinglab.cn/ 網路信息安全攻防學習平台

http://captf.com/ ctf題目

http://cafebabe.cc/nazo/ 腦洞開發,與ctf只有那麼一點關係,有85關了( ?? ω ?? )y

http://1111.segmentfault.com/ 光棍節程序員闖關秀

http://www.helloisa.com/test/

http://www.fj543.com/hack/ 黑客叢林之旅

http://monyer.com/game/game1// 夢之光芒的小遊戲

http://oj.xctf.org.cn/ XCTF_OJ練習平台

http://hackgame.blackbap.org/ 習科黑客遊戲

http://ctf.3sec.cn/ Jlu.CTF

http://www.baimaoxueyuan.com/ctf 白帽學院ctf挑戰賽

http://www.ichunqiu.com/tiaozhans i春秋ctf挑戰

http://ctf.idf.cn/ idf 實驗室

http://ctf.moonsos.com/pentest/index.php 米安網ctf

http://www.hetianlab.com/CTFrace.html 合天ctf

http://www.shiyanbar.com/ctf/index 實驗吧(前名西普學院)

http://hkyx.myhack58.com/ 黑吧安全網-紅客闖關遊戲

http://202.108.211.5/ 實訓競賽系統

國外比較好的幾個綜合練習平台

http://www.wechall.net

http://insight-labs.org/

http://wargame.kr/

http://canyouhack.it/

http://hackit.sinaapp.com/

http://webhacking.kr/

http://fun.coolshell.cn/

http://ringzer0team.com/challenge

https://backdoor.sdslabs.co/

http://smashthestack.org/ 漏洞利用練習網站

ctf writeup(WP):

直接百度:writeup(一邊看一邊總結,有道筆記,印象筆記什麼的,最好能復現)

另外烏雲和360安全播報上有些WP

http://drops.wooyun.org/?s=writeupsubmit=%E6%90%9C%E7%B4%A2

http://bobao.360.cn/ctf/

https://github.com/ctfs/ 各種 writeup

http://sec.yka.me/ CTF Writeup Summary

https://ctf-team.vulnhub.com/ Write Ups


你想更深入了解學習Linux知識體系,你可以看一下我們花費了一個多月整理了上百小時的幾百個知識點體系內容:

【超全整理】《Linux雲計算從入門到精通》系列實戰筆記全放送


網路安全學習資料大全

(更多多學習資源可關注微信公眾號「合天智匯」)

1、Web security

1. 《http權威指南》【圖靈出品】: 深入理解web http/https協議 ,了解超文本傳輸協議是如何進行傳輸和編譯的。

2. 《javascript權威指南》:淘寶前端團隊翻譯,深入了解前端js變數,注釋,函數,表達式等,學習xss必備書籍。還提及了jquery類庫。

3. 《xss跨站腳本攻擊與防禦》: 學習xss基礎必備。也是目前國內唯一一本專門介紹xss技巧的書籍.

4. 《白帽子講web安全》: 阿里安全專家吳瀚清處女作,大佬級黑客ucloud創始人季昕華做序,已成為web安全從業人員入門必看學習書籍。

5. 《web前端黑客技術揭秘》: 主要包含Web 前端安全的跨站腳本(XSS)、跨站請求偽造(CSRF)、界面操作劫持這三大類,涉及的知識點涵蓋信任與信任關係、Cookie安全、Flash 安全、DOM 渲染、字符集、跨域、原生態攻擊、高級釣魚、蠕蟲思想等,這些都是研究前端安全的人必備的知識點。

6. 《代碼審計:企業級web安全代碼架構》配合《細說php》最佳: 阿里巴巴安全專家尹毅的新書,剛畢業就出書實在佩服。看了目錄非常有料啊,預計12.8上貨。

7. 《kali linuxback track滲透測試實踐》【圖靈出品】:沒看過,淘寶看了下目錄還不錯的樣子.

8.《sql注入攻擊與防禦》: 詳細的介紹了sql盲注等各種注入技巧。web安全入門必看。

9. 《網路掃描技術揭秘》: 出版已超過三年的老書,主要介紹網路掃描技術。如:分散式掃描,高速掃描等。

10. 《python黑帽子》 : 作者根據自己在安全界,特別是滲透測試領域的幾十年經驗,向讀者介紹了Python 如何被用在黑客和滲透測試的各個領域,從基本的網路掃描到數據包捕獲,從Web 爬蟲到編寫Burp 擴展工具,從編寫木馬到許可權提升等.

11. 《黑客技術攻防寶典:web安全篇》: 看第一遍的時候可能看不懂講的什麼,主要看目錄,一本普及面非常廣闊的知識性圖書,但是每個知識點概括不會很詳細。也很值得收藏。

2、Mobile security

1) android security:

1. 《andriod軟體安全與逆向分析》: 我大非蟲原創處女作,通俗易懂涉及面廣。不管新手老手都適合看。全書主要講解Android 環境搭建,Android組件,Android軟體安全測試之法。

2. 《android安全攻防指南》: 眾多大牛推薦…自然是不少乾貨為白帽子提供了漏洞發現、分析和利用的使用工具。在詳細介紹android操作系統工作原理和總體安全架構後,研究了如何發現漏洞,為各種系統部件開發利用,並且進行應對。移動設備管理者、安全研究員、android應用程序開發者和負責評估android安全性的顧問都可以在本書中找到必要的指導和工具。

3. 《andriod安全攻防實戰》: 沒看過。。。看看目錄還行。

4. 《andriod安全技術揭秘與防範》: 一本新書,紅衣教主推薦的,已加入豪華購物車。未閱。

5. 《android系統安全和反彙編實戰》 沒看過,聽說很不錯。

2) ios security:

1. 《ios應用安全攻防實戰》:如何保障自己的應用數據安全?本書提供一些用於防禦常見攻擊方法的方式。

2. 《黑客攻防技術寶典ios實戰篇》:國際大牛之作,介紹iOS應用漏洞挖掘方式,模糊測試技巧。

3. 《ios取證實戰》: 沒看過,收藏很久了。

4. 《ios應用逆向工程》: 國內iOS老手杜總的力作,充分介紹iOS 安全機制,iOS反彙編技巧。

5. 《移動應用安全》: 主要從Android iOS windows mobile三個方向談及安全知識。

6. 《移動終端安全關鍵技術與分析》: 我發現的唯一一本講移動終端安全的書籍,純知識性。

3、Bin or Reverse Engineering

1. 《intel微處理器》:看雪壇友推薦,看了下目錄是真心好啊,已加入豪華購物車…

2. 《逆向工程核心原理》: 韓國翻譯過來的逆向書籍,深入淺出各種反彙編大法。調試大法,上鉤大法。介紹利用各種工具。特別適合入門。

3. 《加密與解密》: 看雪論壇創始人鍛鋼著作,經典之經典。主要介紹軟體逆向,調試。反彙編,加殼脫殼等技術。

4. 《挖0day》: 八進位核心成員編寫,測試方法基本過期。但是對於軟體特性,漏洞挖掘思路絕對腦洞一開。

5. 《有趣的二進位》:不僅僅是書有趣,作者也是個有趣的人~一本由日文翻譯過來的二進位安全書籍,翻譯的非常仔細,仔細到調試工具里的彈窗文字都要翻譯註釋下來。基礎書籍,事宜入門。也學學島國的安全技術吧(天吶,我這麼純潔的人島國是什麼鬼…)

6. 《模糊測試 強制發掘安全漏洞的利器》: 超經典書籍。裡面介紹的挖掘方法基本過期。但是技術思路和全書介紹的不少fuzz工具絕對值得收藏。

7. 《彙編語言》: 了解彙編語言,寄存器,地址布局,彙編指令,數據段是件對逆向工程有好處的事兒~

8. 《格蠹彙編 軟體調試案例錦集》: 其實第二個字我還是不認識,不過淘寶搜索格囊彙編就行了。全書通篇介紹作者軟體調試實戰。沒有一點水貨~也不扯淡。學軟體調試就看這個了。

9. 《軟體調試》: 上面那本書的姊妹篇,同一個作者。

10. 《逆向工程實戰》: 這本書一上來就分析棧操作和函數調用,對於新手來說不建議直接就啃。不過內容詳細,看看上面的其他書籍或者了解一下彙編和C語言知識再啃這個比較合適。

4、稍偏門類安全類

1. 無線:《無線網路黑客攻防》,詳細介紹包括但不限於無線網路,無線藍牙等無線攻防技術。了解什麼是wpa,什麼是cowpatty,mdk3。介紹 Auth Flood攻擊 Deauth Flood攻擊 Association Flood攻擊 Disassociation Flood攻擊RF Jamming攻擊和各種漏洞測試方法。

2. 《揭秘家用路由0day漏洞挖掘技術》: 夠詳細,連指令表都有。從路由器web。客戶端,以及硬體安全方面介紹,介紹了各種測試方法,利用方式,掃描技術。

3. 內核: 《內核漏洞的利用與防範》 ,不是很好理解的一本書,畢竟內核漏洞也不是想挖就挖的到的……

4. 瀏覽器:《web之困》,這是一本不介紹漏洞,也不講測試的經典書。全原理式講解瀏覽器安全的前世今生~

5. 數據安全:《數據驅動安全》,360某安全團隊翻譯過來的…大數據時代,當然用數據說話…只是對照著英文版發現有一丟丟的翻譯錯誤。不過…也確實不可錯過的好書,畢竟這類安全的中文書籍僅此一本。

6. 雲計算安全:《信息安全技術 雲計算服務安全指南》。

7. 沒看過,湊數用的: tools books:(工具書就不用介紹了,幹啥用的都知道。)《metasploit滲透測試指南》、《wireshark2數據包分析實戰》、《ida pro權威指南》 《kali linux滲透測試的藝術》、《github入門與實踐》、《fiddle調試權威指南》、《計算機安全超級工具集》、《雷神的微軟平台寶典》。

5、linux 類

1. 《linux內核源碼剖析》上/下 : 幾乎把Linux開源的每一段代碼,每一條函數都拿出來分析。所以分成兩本比較厚的書。了解Linux內核源碼,操作原理就選這個了。

2. 《鳥哥的linux私房菜》: Linux安裝到使用,搭建到指令。最最基礎的Linux學慣用書,本應放在第一位,但是上面那套實在太好了。

3. 《linux內核完全注釋》《ram linux內核源碼剖析》

4. 《linux內核設計與實現》: 出版超過3年的經典書籍。從Linux內核進程,內核線程,調度,系統調用,中斷和異常處理等方面概述了Linux內核的設計與實現原理。

5. 《tcp/ip詳解》:描述了屬於每一層的各個協議以及它們如何在不同操作系統中運行。作者用lawrence berkeley實驗室的tcpdump程序來捕獲不同操作系統和tcp/ip實現之間傳輸的不同分組。對tcpdump輸出的研究可以幫助理解不同協議如何工作。

6、IT思維

1. 《我的互聯網方法論》: 周鴻禕的龍頭之作。他講的方法其實就是他的產品理念,剛拿到的這本書的我是花一個下午一口氣看完的~可見它內容的吸引力!

2. 《增長黑客》:書名寫著「黑客」講的主題卻是營銷,用大數據說明如何利用「黑客」為自己增值。適合創業者看~

3. 《德魯克全書》:這本書本跟IT無關,但是裡面的故事大多發生在互聯網公司,並且適合創業者或者管理者閱讀。一種把員工當成客戶(上帝)的思維,層出不窮的管理體系理念。非常棒的管理思維。

4. 《谷歌是如何運營的》:想運營好自己的公司或者部門,可以先從這裡參考或者一下學習一下谷歌是怎麼做的。

5. 《喬布斯傳》:喬布斯是我一直的偶像,真正的偶像。他的產品理念和創新思維絕對一流。不管是技術員,管理員,運維,CEO,都值得看看。

6. 《騰訊傳》 話說馬化騰,道言張小龍。講QQ,談微信!

7、優質的學習資源

1. 知乎周刊:http://zhuanlan.zhihu.com/

2. 碼農周刊:http://weekly.manong.io/

3. Pycoder"s Weekly:http://pycoders.com/archive/

4. Hacker News:https://news.ycombinator.com/

5. 合天網安實驗室:http://www.hetianlab.com

6. Startup News:http://news.dbanotes.net/

7. 極客頭條:http://geek.csdn.net/

8. InfoQ:http://www.infoq.com/cn

9. Stack Overflow:http://stackoverflow.com/

10. GitHub:https://github.com/

11. FreeBuf:http://www.freebuf.com/

12. csdn博客:http://blog.csdn.net

13. 博客園:http://www.cnblogs.com

14. 雷鋒網:http://leiphone.com

15. 吾愛破解:http://52pojie.cn

16. 看雪論壇:http://bbs.pediy.com

17. 綠盟科技博客:http://blog.nsfocus.net/

18. E安全:http://www.easyaq.com/

19.360播報:http://bobao.360.cn

20. 遊俠安全網 http://www.youxia.org

8、第三方漏洞平台

1. 補天漏洞響應平台 (https://butian.360.cn/ ): 自稱是全球最大的漏洞平台,擁有上萬名白帽子,對通用型漏洞獎金略高,1kb=3rmb。

2. 漏洞盒子(https://www.vulbox.com/ ): freebuf創辦。

3. Sobug 眾測平台(https://sobug.com/ ): 冷 焰創辦。

4. sebug漏洞庫(https://www.sebug.net/ ):一家以收集poc或exp為獎勵的平台,據說挺贊的。

5. 比戈大牛(http://www.bigniu.com ): 新平台,以收購android bin漏洞為主,獎勵很豐厚。

6. 阿里雲盾先知計劃( http://xianzhi.aliyun.com/ ):看到的第一反應是。阿里也收別人的漏洞了,不過只收通用漏洞 最高獎金50w。

9、企業SRC

1. 網易安全中心 ( http://aq.163.com ):沒刷過,不知道。看了商城,五塊錢都可以換…

2. 騰訊安全應急響應中心 ( http://security.tencent.com/):據說是全中國最好的SRC。

3. 阿里巴巴安全應急響應中心(https://security.alibaba.com/ ):有錢任性,平台負責人是個高顏值帥哥。

4. 新浪安全應急響應中心(http://sec.sina.com.cn/): 渣浪據說不咋地,沒刷過…

5 . 百度安全中心(http://sec.baidu.com/): 獎勵不是很高,作為bat卻排在了最後。

6. 京東安全應急響應中心( http://security.jd.com/ ):獎勵在步步提升了,並且和asrc一樣有流動全國沙龍巡演。

7. 360安全應急響應中心 (http://security.360.cn/ ): 月排名獎金真的很吸引人!

8. 1號店安全應急響應中心( http://security.yhd.com/ ): 沒刷過。

9. 金山安全應急響應中心(http://sec.kingsoft.com/ ): 小氣小氣小氣小氣小氣....

10 . 攜程安全應急響應中心(http://sec.ctrip.com/ ): 商城禮品略少正在逐步改善…

11. 去哪兒安全應急響應中心 ( http://security.qunar.com/ ): 沒刷過…

12. 搜狗安全應急響應中心( http://sec.sogou.com/): 1安全幣=1RMB。

13. 小米安全中心(https://sec.xiaomi.com/ ): 獎金不多,也不算少,直接打錢的src.

14 . 聯想安全應急響應中心( http://lsrc.lenovo.com/index.htm): 獎金正在逐步提升,不時翻倍.

15. 深信服安全響應中心(http://security.sangfor.com.cn ): 我也不知道這裡什麼鬼規則,直接發京東卡的。

16 . 魅族安全響應中心 ( http://sec.meizu.com/ ): 一幣=10rmb,meizu pro5才280個幣。

17. 安全狗(http://security.safedog.cn ):公告形式排名,運營比較溫柔~

18. 迅雷( http://safe.xunlei.com ):不了解…

19. 歡聚時代安全應急響應中心( http://security.yy.com ) :獎勵略少…

20. 平安集團安全應急響應中心( http://security.pingan.com ):直接以錢作為獎勵方式,一個getshell大概4000塊,積分比較狠。幾十萬來的。

21. 唯品會安全應急響應中心( http://sec.vip.com/ ):也算個良心src了,不過有個缺點就是,只以唯品卡為獎勵方式,沒滿10的暫存。還挺不錯。畢竟新生src。

22. 蘇寧安全應急響應中心( http://security.suning.com/ssrc-web/index.jsp ): 有個審核有點帥……………一個幣=5rmb,商城目前未上線,不過快了。

23. 滴滴打車安全應急響應中心(http://sec.didichuxing.com/ ): 剛上線…排行榜都木有


感謝邀請!

在手機上就隨便說幾句,學習技術最好要接近你的興趣及目標,什麼是目標,安全分為攻防,無論哪一方都需要學習好,基礎知識,包括操作系統,資料庫,一種編程語言即使不學習c語言也要懂一門得心應手的語言,我也推薦python,因為python學起來速度快,並且各種類庫很方便。

有了目標和基礎後就要不斷學習,這個不斷不能放棄進步,不要半途而廢。

至於看什麼書,最好是在大學

里把基礎知識打撈然後平時可以看看微博上牛人都關注什麼,如果感興趣可以從點到面逐步學習,最後要說的就是堅持,古人云滴水穿石。


建議樓主聚焦,把焦點放在一個位置,如若樓主喜歡滲透,就把滲透做到極致。

關於學習web安全滲透的好地方


1習科安全技術論壇:擁有原創文章,氛圍不錯,都是黑闊出生,研究腳本的比較多

2烏雲網,白帽子聚集地網址http://www.wooyun.org 贊第一位是烏雲網的top1非常的厲害喲。 通過研究白帽子們滲透的過程,既可以學到知識,又可以和上面的白帽子交流


3 法客 裡面大牛挺多,沒怎麼深入接觸,不評論,擅長從域名到getshell到提權的過程


4 土司論壇http://t00ls.net裡面等級制度森嚴, 擅長web腳本,和sql注入 滲透, 有部分內網滲透思路

5.90sec, 編程牛滲透牛都在裡面,內網滲透


白帽子談web安全,從防禦的角度談安全,作者大風@大風

web黑客技術揭秘 作者@餘弦

黑客滲透筆記,

黑客腳本大全,學習審計喲有用

高級php漏洞審核技術,作者@黑哥

願有限的知識能幫到題主,嘿嘿,

------------------------------------------------------------------------------------

5月25日修改

--------------------------------------------

推薦安全參考雜誌 ,裡面有傳統的滲透,WAF繞過,XSS繞過,代碼審計技術~推薦推薦~

2. 推薦http://91ri.org 最新安全信息

3. 安全wiki

4.烏雲知識庫~ java~php 代碼審計 新技術 新思想應有盡有~

5. 掃描器

滲透的核心競爭力:人工滲透&>掃描器&>社工庫


樓主想從事web安全么,那麼建議多接觸,要知道這個圈子並不簡單,既然是web安全,那麼你一定會經常見到烏雲「wooyun」這個網站,並且也是比較權威的,多接觸才能多收穫。

學習的話從前端開始,http+css 接著javascricp 在接上3p(php asp jsp)

在學習期間多練習ps,flash,3d等軟體

再然後,你就能接觸這個圈子的很多人,你可以學習各種漏洞的挖掘;

最後多學習總是好的,推薦學學java,python,其實初學者可以先學python

最後推薦一本道哥的書《白帽子講web安全》


別去蓋牆就行。


轉述一下我一個朋友的觀點:對入門而言,做網路安全就是要懷著好心做壞事。 說白了就是要時時刻刻想著怎麼繞過正常途徑發現問題,好心是原則,壞事是方法。跟大學的課程一樣,不在乎你學什麼,重要的是清楚的知道學這些是要做什麼。


習科 wooyun 90sec t00ls 法克 http://91ri.org http://lcx.cc 看雪 吾愛破解。。。。。。還有很多大牛博客多看看,有點基礎半年就入門了,又不是多難的東西


要在一個領域做安全,必須首先成為這個領域的專家。


太廣泛了 網路 操作系統 應用 移動端安全 樣樣不可能全懂 目前我國網路安全都是技術工 談不上開創性的東西 因為我國和美國在網路技術方面有很大差距 美國是開創者 我們就是使用者 包括360 阿里巴巴 騰訊 這些公司說到底還是商業公司 比如阿里號稱資料庫最強 也不過是orcale mysql使用的非常熟練精準 以色列 印度 有些頂尖安全公司 非常具有開創性 具有寫一個操作系統級別的能力 國內基本不可能

如果倫奇巧淫技 美國nsa說第二 沒人敢說第一


學習彙編,改變世界去吧。


常用工具:OD IDA PcHunter(xuetr)


論壇:看雪論壇


個人覺得可適當看一些信息安全管理方面的材料和標準(雖然極其枯燥),試著對整個信息系統的防護進行思考,如組織機構,網路系統,業務流程,全員意識等等。然後在做具體的技術工作


推薦閱讀:

《360黑匣子之謎——奇虎360「癌」性基因大揭秘》有哪些報道是客觀的?有哪些是失實的?
6 月 18 日蘋果系統曝出嚴重漏洞會對用戶造成什麼影響?
學校的監控可以被黑掉嗎?
我們的電腦是否始終被國家監控著?
Bash 漏洞是什麼級別的漏洞,有什麼危害,具體如何修復?

TAG:操作系統 | Linux | 網路安全 | 計算機 | 黑客Hacker |