写在开头
我先介绍下自己,安全圈的菜鸟一个,想写博客记录学习过程的点点滴滴,喜欢技术,热爱生活。应该算是一个比较文艺的理工技术男。
12年实习,纯纯的数学系出身什么也不懂,一头扎进了开发堆里,进入了漫长的10年开发之旅。做过java、带过.net,玩过PHP,搞过DBA,当过技术负责人,升到项目经理,大小项目不计其数,最后看不清未来的路。重复的project、重复的pacd、重复的需求设计、重复的增删改查。渐渐的发现软件研发太内卷了,也疲惫了,年龄大了,未来在哪?
偶然机会
也是偶然的机会让我转岗,转到了网络安全的部门,在这里是一个完全新的世界,也是未知的世界。诚然手头上的工作还是开发,带项目。但是心里对攻防技术的渴望扎下了根。
在带项目过程中,慢慢的了解网安体系、了解等保、了解安全运营、了解威胁情报、渗透、漏扫等等。我也想要这么一次机会,转变的机会。我想转Web安全。
给自己一个理由
奔三已过奔四快一半,中年危机、家庭、贷款各种负担,有时候不敢有这种勇气。不敢放下现有的安逸。只能忍耐。
也许是现在各个大厂的百分之30+的裁员,也许是现在的年龄真心的熬不起夜了,两瓶红牛加枸杞也顶不住身体的疲惫。
有人说网安不需要太强的基础就能入门【瞎说】,有人说网安年龄越大经验越多越吃香【爱听】,各厂缺人,升值加薪快【心动】,然后朋友介绍加了一个培训班和公司自己的实验室鼓励【入坑】。
学习路线
打好基础
学习网安前第一件事,也是最重要的一件事就是先学习《网络安全行业与法规》,要不然技术还没有学明白,先把自己学进去了。
先有几天的时间把《Linux操作系统》各个版本的体系结构和常用命令温顾一遍,每个命令都敲敲写写【虽然每天都用】,把不熟悉的、忘记的命令都过一年,给自己打个好基础吧。
然后学习一下《计算机网络基础》掌握一下常用的协议原理,毕竟攻击/防御让知道路在哪里。这个真心的枯燥好难。
开发语言这个好一点,《HTML》、《JS》、《PHP》、《SQL》、《Python》掌握这些基本就够了,还好有点基础。要不然不知道哪年能开始了。
进入正题(渗透与攻防)
Web相关漏洞
以下大概整理了一下路线:
- SQL注入的渗透与防御
- XSS渗透与防御
- CSRF漏洞渗透与防御
- 文件上传漏洞利用与防御
- SSRF渗透与防御
- 远程代码执行渗透与防御
- PHP反序列化渗透与防御
- Redis未授权访问漏洞
- 逻辑相关渗透与防御
- 暴力猜解与防御
工具与提权
- AWVS漏洞扫描
- AppScan漏洞扫描
- Nessus漏洞扫描
- MSF-Metasploit Framework
- Burp Suite
- 社会工程学
渗透测试实战
- Kali
- CVE漏洞复现
- 靶场实战
- 挖漏洞
进阶
- ARP渗透与防御
- DOS与DDOS渗透与防御
- 无线安全相关渗透与防御
- 内网相关渗透与防御
- 木马免杀问题与防御
- Windows逆向安全
- Android逆向
代码审计
等保
应急响应
数据安全
安全巡检
最后也是开始
一个好的计划就是成功30%,日复一日的努力成功了20%,反反复复的靶场实战成功了30%,最后自己争取一个机会,一个开始的机会20%。
后续佩剑会陆续写出各个阶段的学习笔记和脚本使用方法。大家一起完成20%的努力。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。