愿安全人不再踩坑,网络安全学习经验

回想学习网络安全一年来,踩了不少坑走了不少弯路,在此稍作总结,希望可以帮助那些想要入门 web 安全或者是想打CTF的同学们一些建议

坑点

先总结一下,我在学习中遇到的坑点

  1. 只看视频,眼高手低,不练习,不总结

  2. 资源收集松鼠病,天真以为收藏即学会,别氪金开了百度云还是存的满满当当,其实想学啥一个b站的事儿,毕竟众所周知b站可是学习的地方,咳咳,该收藏的还是要收藏(明示本篇)

  3. 天天水群,知识没学到,黑话学了一大堆,终究还是百度

建议

  1. 多向学长学姐请教(请教前先了解一下提问的艺术),不要死钻牛角尖,特别是刚入门啥都不了解,可能你研究好几天的东西,就是一句话的事,比如环境搭建就是入门学习难点,而docker就可以解决大部分环境搭建的痛点
  2. 加入一个安全团队,看看那些大牛们在学什么,即使进不了也可以刷一波面试经验
  3. 勤动手,多敲代码,多练习,记笔记,这个是最最重要的,人的记忆力是有限的,很久不看必然要忘,自己写笔记既是为了学的时候加深印象,也是为了快速复习,温故知新。可以自己搭建一个博客,或者是*******博客园啥的,把笔记分享上去,这些都是学习的正向反馈,是激励自己学习下去的动力
  4. 学到啥程度算是学会了,你能把别人讲明白就算,给别人讲问题既能自我知识总结归纳,又能加深印象,所谓:知识不再入,再在出
  5. 如果是学习某一种语言,可以在学的差不多的时候,做一点项目,当做出成果你会特别的骄傲,我之前学flask的时候就做了一个网站,能感觉出当时的学习动力是真的足
  6. 培养自己的自学能力,没有大佬是几天就能学会的,大佬们都是学到凌晨,可能这就是大佬发型总是瞩目的原因吧,况且网络安全知识点错综复杂,计算机是日新月异,要是往深了研究足以付出终身
  7. 关注网络安全赛事,如初:Defcon,GeekPwn啥的,培养兴趣,兴趣才是最好的老师嘛
  8. 多关注一些大牛的公众号,b站号啥的,我推荐一些吧

web 学习路线

img

web安全学习路线可以分为两种:

  1. 先学基础,在转安全
  2. 边学安全,边补基础

对于安全新人来说还是推荐第二种学习方法,边学漏洞的原理,边补基础,比如说在学xss漏洞,就可以去学一学JavaScript的知识

可以按照下面这个步骤去进行

第一阶段

  • web漏洞

    1. SQL注入

      进而学习sql语句,各种不同的数据库

    2. CSRF漏洞

      进而学习cookie和session机制

    3. XSS

      进而学习javas

    4. 命令执行

      进而学习linux,bash、cmd命令

    5. 文件上传,文件包含

      了解不同的建站语言后缀,后台逻辑

    6. SSRF

    7. 逻辑漏洞

    8. 等其他web漏洞

  • 编程语言

    Python、php可以一块学,前期不用太深入,和web漏洞原理一块学

  • 了解web技术栈

    1. 计算机网络(http、tcp/ip)
    2. 中间件
    3. 数据库
    4. 操作系统

第二阶段

  • web安全

    1. 漏洞挖掘
    2. 代码审计
    3. 提权
    4. 内网渗透
    5. 社工
  • 编程语言

    没错还是要学语言,一个好的程序员不一定是一个好的安全人员,但一个好的安全人员一定是一个好的程序员

  • 深入web技术栈

    1. 后端语言(java,php,python)
    2. 后端框架(Spring,ThinkPHP,Django)

推荐一些web安全的书

  1. 《web安全深度剖析》
  2. 《白帽子讲web安全》
  3. 《图解HTTP》
  4. 《代码审计企业级web安全框架》
  5. 《精通Metasploit渗透测试》
  6. 《Web安全攻防:渗透测试实战指南》
  7. 《web攻防之业务安全实战指南》
  8. 《web前端技术揭秘》

优先级从上往下吧,书读多了,懂得自然多,但是写书上的知识必然也有点旧了,还是要紧跟时事,多看一些文章

CTF

img

CTF是入门网络安全的比较快的方式吧,一般很多学校的网络安全社团也是围绕着CTF比赛来开展活动的

CTF也是有两种玩法的:一种是解题赛,就是出题人出固定考点的题,解就完了,拿到flag就可以,另一种是AWD(Attack&Defence)攻防模式,模拟真实网站,攻防双方各有存在漏洞的网站,多人组队,攻防分明,比较有意思,谁拿的flag多就是胜利

CTF解题赛方向:

  1. Web

    web安全相关,近来卷的不行,已经开始考最新漏洞复现了,web狗没有生存空间

  2. Misc

    各种隐写,图片,音频,视频,压缩包,变着花的来

  3. Pwn

    pwn都是爷爷辈的足以看出在ctf中的地位

  4. Mobile

    移动安全相关

  5. BlockChain

  6. Realworld

    见名知意,这种一般是一个贴近真实的环境去渗透

CTF赛事:

  • 国外:

    1. Defcon

      CTF赛事中的“世界杯”

    2. UCSB iCTF

      来自UCSB的面向世界高校的CTF

    国外的大型赛事可能距离小白比较远也不多举了

  • 国内

    1. 网鼎杯
    2. 强网杯
    3. 蓝帽杯
    4. 红帽杯
    5. iscc
    6. 国赛
    7. 各省省赛
    8. 看学ctf
    9. 安恒月赛
    10. 其他的多如牛毛,一个月好几场。。。。。

CTF主要还是各种脑洞,各种bypass,各种trick,主要是多做题多练习

训练场大全:

  1. BUUCTF在线评测:
  2. https://buuoj.cn
  3. ctfshow
  4. https://ctf.show/收费的,但是题目质量不错,很多大佬都是刷题刷出来的
  5. Vulhub漏洞环境集合:
    https://vulhub.org
  6. 韩国Webhacking:
    https://webhacking.kr
  7. 重生信息安全在线靶场:
    https://bc.csxa.cn
  8. 网络信息安全攻防学习平台:
    http://hackinglab.cn
  9. 墨者学院在线靶场:
    https://www.mozhe.cn/bug
  10. 封神台在线演练靶场:
    https://hack.zkaq.cn/battle
  11. 安鸾渗透实战平台:
    http://www.whalwl.cn/home
  12. XSS Challenges:
    http://xss-quiz.int21h.jp
  13. U2安全巡航靶场:
    http://scan.vulspace.com
  14. MS08067实战型训练平台:
    http://bachang.ms08067.com
  15. 东塔在线靶场:
    https://labs.do-ta.com/index/course/index
    漏洞靶场
  16. DVWA:
    http://www.dvwa.co.uk
  17. BWVS:
    https://github.com/bugku/BWVS
  18. BWAPP:
    https://sourceforge.net/projects/bwapp
  19. WAVSEP:
    https://github.com/sectooladdict/wavsep
  20. VulnStack:
    http://vulnstack.qiyuanxuetang.net/vuln
  21. Sqli-Labs:
    https://github.com/Audi-1/sqli-labs
  22. Webug 3.0:
    https://pan.baidu.com/s/1eRIB3Se
  23. Upload-labs:
    https://github.com/c0ny1/upload-labs
  24. Metasploitable:
    https://github.com/rapid7/metasploitable3
  25. DVWA-WooYun:
    https://sourceforge.net/projects/dvwa-wooyun
  26. OWAS

够不够,孩子?够不够?够不够孩子,虚假的ctf选手苦苦

158****006021

最后推荐两本书,这两本书都是很牛的ctf战队出的

  1. Nu1l战队的:0到1:CTFer成长之路
  2. FlappyPig战队:CTF特训营

对于没有计算机基础或者是跨专业的同学来说学习网络安全可能有点压力,但计算机是众所周知的大杂烩专业,有很多大牛都是跨专业,比如妇科圣手们,只要坚持学习一定可以成为大佬

这些分享给你们,同时也是说给自己,最后,没有伞的孩子要学会奔跑,冲出舒适区,加油冲冲冲,肝就完了!!!

#信息安全##网络安全#
全部评论
一下子不知道自己想要什么了
2 回复 分享
发布于 2022-06-08 15:38
老哥,安全开发岗位怎么样?
1 回复 分享
发布于 2023-02-01 17:30 河北
你一年能学完这么多?
点赞 回复 分享
发布于 2022-06-07 09:04
大佬可以的
点赞 回复 分享
发布于 2022-06-13 16:33
感谢大哥给我指引了一条明路,我自己学感觉要撅过去了
点赞 回复 分享
发布于 2022-07-26 10:04
一键三联
点赞 回复 分享
发布于 2023-05-31 15:40 重庆
网络安全现在岗位感觉好少啊 佬
点赞 回复 分享
发布于 01-24 12:37 湖南
老哥最后去哪了
点赞 回复 分享
发布于 03-01 13:16 北京

相关推荐

不愿透露姓名的神秘牛友
11-04 18:41
已编辑
hr联系我第二天就约到了技术一面,然后一面40分钟面完后当天晚上通知第二天接着二面,二面大概也是在四十分钟左右,第二天二面面完过两天hr打电话给我问我薪资意向各种各种,然后问完之后说两天内出结果。后面了解到网安岗位是属于一个补录的阶段,所以流程会走得很快,面试体验也挺好的,面试官问的问题也挺深入比较切合实战,一面不断拷打项目以及各种实战场景,然后二面的话就有些java漏洞的原理以及各种实战绕过的姿势,后期等有空会出个面经之类的供参考但是让我有些不舒服的可能是最后联系谈薪的时候,hr说他们这边校招基本上优先考虑研究生什么的,甚至有些岗位你本科985都不一定要你,但是网安是一个什么特殊岗位所以不卡学历卡能力之类的,然后又说我不是唯一一个通过最终面试的,技术面也有人比我答得更好啥的,然后后面又说我面试反馈好所以优先考虑我啥的(感觉有些pua),最终说本科薪资可能会比研究生低,说可能怕薪资不符合我的预期,意思可能是想要压价,最后协商好一个令我满意感觉也比较符合他的预期的薪资后说会给我尽快走完流程。目前是在等一个最终结果。也想问一下牛友对这个公司的看法以及意见。---------------------------------------下午刚写的牛客,晚上就收到通知通过面试了,准备签三方了,但是要求年后早点过去实习,但是本身现在手上还有几个选择的余地,不知道该不该签
查看3道真题和解析
点赞 评论 收藏
分享
72 415 评论
分享
牛客网
牛客企业服务