愿安全人不再踩坑,网络安全学习经验
回想学习网络安全一年来,踩了不少坑走了不少弯路,在此稍作总结,希望可以帮助那些想要入门 web 安全或者是想打CTF的同学们一些建议
坑点
先总结一下,我在学习中遇到的坑点
只看视频,眼高手低,不练习,不总结
资源收集松鼠病,天真以为收藏即学会,别氪金开了百度云还是存的满满当当,其实想学啥一个b站的事儿,毕竟众所周知b站可是学习的地方,咳咳,该收藏的还是要收藏(明示本篇)
天天水群,知识没学到,黑话学了一大堆,终究还是百度
建议
- 多向学长学姐请教(请教前先了解一下提问的艺术),不要死钻牛角尖,特别是刚入门啥都不了解,可能你研究好几天的东西,就是一句话的事,比如环境搭建就是入门学习难点,而docker就可以解决大部分环境搭建的痛点
- 加入一个安全团队,看看那些大牛们在学什么,即使进不了也可以刷一波面试经验
- 勤动手,多敲代码,多练习,记笔记,这个是最最重要的,人的记忆力是有限的,很久不看必然要忘,自己写笔记既是为了学的时候加深印象,也是为了快速复习,温故知新。可以自己搭建一个博客,或者是*******博客园啥的,把笔记分享上去,这些都是学习的正向反馈,是激励自己学习下去的动力
- 学到啥程度算是学会了,你能把别人讲明白就算,给别人讲问题既能自我知识总结归纳,又能加深印象,所谓:知识不再入,再在出
- 如果是学习某一种语言,可以在学的差不多的时候,做一点项目,当做出成果你会特别的骄傲,我之前学flask的时候就做了一个网站,能感觉出当时的学习动力是真的足
- 培养自己的自学能力,没有大佬是几天就能学会的,大佬们都是学到凌晨,可能这就是大佬发型总是瞩目的原因吧,况且网络安全知识点错综复杂,计算机是日新月异,要是往深了研究足以付出终身
- 关注网络安全赛事,如初:Defcon,GeekPwn啥的,培养兴趣,兴趣才是最好的老师嘛
- 多关注一些大牛的公众号,b站号啥的,我推荐一些吧
论坛:
吾爱破解
看学论坛
安全客
先知社区
FreeBuf
厉害的大佬有好的文章可以发到这些论坛里,既是一个学习的正向反馈,还能赚点小钱钱
公众号:
渗透云笔记
不定期发一些资源
道哥的黑板报
对就是阿里的道哥,白帽子讲web安全作者,他的公众号在沉寂了好久之后最近也是在更新
谢公子学安全
谢公子的公众号
代码审计
p神的公众号,java代码审计内容比较多,有小钱钱的同学可以加一下p神的小蜜圈,永久有效,这应该是最实在的小蜜圈了
山警网络空间安全与电子数据取证
学校社团公众号,内容主要是CTF
教父爱分享
不定期发资源,我也近了教父的群了,还是挺值的
乌云安全
不定期会发资源,收费的不用买,不用买,不用买
b站:
CodeSheep
程序员UP,非常的接地气,内容:Java和C以及一些经验啥的
漏洞银行、DeeLMind
不定期邀请大佬来做客分享知识
星盟安全团队、涅普科技、Gcow安全团队
星盟CTF安全团队,现在正在更新pwn入门,大佬牛的
大佬博客
web 学习路线
web安全学习路线可以分为两种:
- 先学基础,在转安全
- 边学安全,边补基础
对于安全新人来说还是推荐第二种学习方法,边学漏洞的原理,边补基础,比如说在学xss漏洞,就可以去学一学JavaScript的知识
可以按照下面这个步骤去进行
第一阶段
web漏洞
SQL注入
进而学习sql语句,各种不同的数据库
CSRF漏洞
进而学习cookie和session机制
XSS
进而学习javas
命令执行
进而学习linux,bash、cmd命令
文件上传,文件包含
了解不同的建站语言后缀,后台逻辑
SSRF
逻辑漏洞
等其他web漏洞
编程语言
Python、php可以一块学,前期不用太深入,和web漏洞原理一块学
了解web技术栈
- 计算机网络(http、tcp/ip)
- 中间件
- 数据库
- 操作系统
第二阶段
web安全
- 漏洞挖掘
- 代码审计
- 提权
- 内网渗透
- 社工
编程语言
没错还是要学语言,一个好的程序员不一定是一个好的安全人员,但一个好的安全人员一定是一个好的程序员
深入web技术栈
- 后端语言(java,php,python)
- 后端框架(Spring,ThinkPHP,Django)
推荐一些web安全的书
- 《web安全深度剖析》
- 《白帽子讲web安全》
- 《图解HTTP》
- 《代码审计企业级web安全框架》
- 《精通Metasploit渗透测试》
- 《Web安全攻防:渗透测试实战指南》
- 《web攻防之业务安全实战指南》
- 《web前端技术揭秘》
优先级从上往下吧,书读多了,懂得自然多,但是写书上的知识必然也有点旧了,还是要紧跟时事,多看一些文章
CTF
CTF是入门网络安全的比较快的方式吧,一般很多学校的网络安全社团也是围绕着CTF比赛来开展活动的
CTF也是有两种玩法的:一种是解题赛,就是出题人出固定考点的题,解就完了,拿到flag就可以,另一种是AWD(Attack&Defence)攻防模式,模拟真实网站,攻防双方各有存在漏洞的网站,多人组队,攻防分明,比较有意思,谁拿的flag多就是胜利
CTF解题赛方向:
Web
web安全相关,近来卷的不行,已经开始考最新漏洞复现了,web狗没有生存空间
Misc
各种隐写,图片,音频,视频,压缩包,变着花的来
Pwn
pwn都是爷爷辈的足以看出在ctf中的地位
Mobile
移动安全相关
BlockChain
Realworld
见名知意,这种一般是一个贴近真实的环境去渗透
CTF赛事:
国外:
Defcon
CTF赛事中的“世界杯”
UCSB iCTF
来自UCSB的面向世界高校的CTF
国外的大型赛事可能距离小白比较远也不多举了
国内
- 网鼎杯
- 强网杯
- 蓝帽杯
- 红帽杯
- iscc
- 国赛
- 各省省赛
- 看学ctf
- 安恒月赛
- 其他的多如牛毛,一个月好几场。。。。。
CTF主要还是各种脑洞,各种bypass,各种trick,主要是多做题多练习
训练场大全:
- BUUCTF在线评测:
- https://buuoj.cn
- ctfshow
- https://ctf.show/收费的,但是题目质量不错,很多大佬都是刷题刷出来的
- Vulhub漏洞环境集合:
https://vulhub.org- 韩国Webhacking:
https://webhacking.kr- 重生信息安全在线靶场:
https://bc.csxa.cn- 网络信息安全攻防学习平台:
http://hackinglab.cn- 墨者学院在线靶场:
https://www.mozhe.cn/bug- 封神台在线演练靶场:
https://hack.zkaq.cn/battle- 安鸾渗透实战平台:
http://www.whalwl.cn/home- XSS Challenges:
http://xss-quiz.int21h.jp- U2安全巡航靶场:
http://scan.vulspace.com- MS08067实战型训练平台:
http://bachang.ms08067.com- 东塔在线靶场:
https://labs.do-ta.com/index/course/index
漏洞靶场- DVWA:
http://www.dvwa.co.uk- BWVS:
https://github.com/bugku/BWVS- BWAPP:
https://sourceforge.net/projects/bwapp- WAVSEP:
https://github.com/sectooladdict/wavsep- VulnStack:
http://vulnstack.qiyuanxuetang.net/vuln- Sqli-Labs:
https://github.com/Audi-1/sqli-labs- Webug 3.0:
https://pan.baidu.com/s/1eRIB3Se- Upload-labs:
https://github.com/c0ny1/upload-labs- Metasploitable:
https://github.com/rapid7/metasploitable3- DVWA-WooYun:
https://sourceforge.net/projects/dvwa-wooyun- OWAS
够不够,孩子?够不够?够不够孩子,虚假的ctf选手苦苦
最后推荐两本书,这两本书都是很牛的ctf战队出的
- Nu1l战队的:0到1:CTFer成长之路
- FlappyPig战队:CTF特训营
对于没有计算机基础或者是跨专业的同学来说学习网络安全可能有点压力,但计算机是众所周知的大杂烩专业,有很多大牛都是跨专业,比如妇科圣手们,只要坚持学习一定可以成为大佬
这些分享给你们,同时也是说给自己,最后,没有伞的孩子要学会奔跑,冲出舒适区,加油冲冲冲,肝就完了!!!
,我自己学感觉要撅过去了
查看3道真题和解析