渗透测试入门建议
1、跟学校/课程学习mysql基础、js css html三剑客、web应用开发------->《白帽子讲web安全》
2、 计算机网络课程学好,操作系统/计算机组成原理有基础后------->《图解tcp/ip》《图解HTTP》《计算机网络 第6版》《wireshark网络分析实战》《WEB安全攻防:渗透测试实战指南》
3、学习Linux、windows操作系统,能够独立搭建各类服务,组件中小型局域网、能够搭建域环境。-------->《Linux就该这么学》《中小型网络组建》《Docker入门实战》《Metasploit渗透测试指南》《网络攻防实战研究》
4、对企业、政府、金融行业等网络架构知识有了解过后可以加深学习,争取能够独立部署实现相关架构。-------->《跟老男孩学Linux运维 Web集群实战》《高性能Linux服务器构建实战》
5、掌握一定的开发技能,最起码要求能够看得懂代码,能够开发一般的小工具。--->《Python基础教程》《Python灰帽子》学校课程的C、C++、C#一定要跟上学好做几个项目。
6、开发也有基础之后多看看国内外大佬的博客。学习最新的知识研究研究apt,红蓝对抗之类的。
下图是网上找的渗透测试的一个知识树可以对照着学习
ps
众所周知的Web安全是入门容易提高难,很容易就会遇到瓶颈。
面对大学生的话,很多人是上了大学才接触相关的内容,我有一点点建议:
在大学的3-4年时间内,多参加比赛,多结交朋友,如果真的像从事这个行业的话,基础一定要打牢。经验可以通过项目来补充,但是基础不够没人会想带你。
在一个就是项目经验,项目经验越多,实战经验越多也代表着这个人的能力。
所以尽量的能参加比赛就多参加比赛,CTF AWD 还有各部、省、国级别的护网行动,每次参加都会受益匪浅。
以后工作之后也可能会参加很多比赛, 各种类型的比赛。这种如果你在校期间就有相关的经验可能就会比较吃香,近两年的话比较推荐护网行动这类的比赛。
上述的书籍其实并不是都要学精,比如白帽子那本书想完全的都研究透就需要很久的时间和扎实的基础。但是放在前面学的意思是能够先通过那本书打开你的视野,等基础学牢固后再反过来看又会看到不同的东西。
网络安全是一个很大的范围,他在各个领域各个方向都会有相关的研究。
引用某个大佬意思是:你代码能力都不如开发人员你怎么去找他们写下的洞。
学习安全需要了解网络基础,开发基础,系统基础
最简单的例子就是: 你连人家最基础的部署的网络结构都不明白你打个锤子
你连人家报错信息都看不懂你绕过个锤子
你连Linux都不会用你打进去搞个锤子
你连web中间件的特点都不知道你恼不恼火
所以相对于做后端,做前端,做运维来说,安全可能是各个方面知识接触的比较全面的一个职业了。
下面是引用的k8gege的毒鸡汤也给各位新生能够解答一些问题:
下文是引用k8gege博客的内容。
Tips:
最近刚高考完不久,所以会在群里看到一些人说学信息安全需要英文、数学好才能学得好。
1.英文
英语这个就不用说了,文章开头的“段子”,最早是剑桥大学发的,就是说那个“段子”是英文的
说明了什么,所谓语法并不重要,中文也是一样,当你有一定意识,乱你也看得懂。
打个比方,大家都懂的SQL注入基础,文中告诉你注入点URL和SQL注入参数,
不管是英文还是中文文章,你都知道如何利用Sqlmap去跑吧,但是你让一个无基础的
就算是中文的写的非常详细的,不说中文有人用他的家乡话和他说,他都不懂。
文章开头那个“段子”看完大脑自动排序拼接成通顺句子,前提也是他有一定基础
很多人说什么新的漏洞新的APT攻击都是英文的看不懂,这关英文的事???
GOOGLE翻译、百度翻译被你吃了???最多就是翻译后中文顺序乱而已?
你没上过小学,汉字都看不懂???真正看不懂的人是所谓APT里的技术看的人不懂
目前90%的APT文章所提到的技术80%都是10年前的技术,并无多少新技术。
倒是新的名词一堆一堆,和以前相比听起来非常高大上,实际上技术变化不大。
2.数学
数学如果说是考试的话,数学方面国人绝对甩老外几百条街,
听说国外对数很头疼 ,国外很多大学数学内容竟是中国初中数学
但是最好笑的是很多数学定理却是老外发明的,是不是说明了什么
为什么老外考试很差,但科技还是很多方面却非常强。
3.实例
先给大家举个例子,我有两个高中同学一个是当年唯一考得上柳高的人综合成绩全年级第一。
另一个也很历害,年级前10吧,但我重点要说的是他的英文很优秀,物理数学也算是优吧
但单科他们都要请教我,比如我物理化学基本上也是全年级第一,而且是实打实,得知几分
立马知道错哪里,为什么错那种,而其它人表面高分,未必知到错哪,需老师讲解后才懂。
而我是全校出了名的偏科,我的英文并不好(初中的时候英文老师说我不学英文就混不了)
表面上我英文几十分偶尔极格,就算是也只是表面极格,实际上我的英文和倒数第一差不多a
对于两位高中同学,我给他们英文数学的评价优秀,大学他们去学了计算机软件开发专业。
大学的时候他们和我说毕业以后要给银行开发系统什么之类的,听着非常牛逼的样子。
当时他们吹自己IT方面很牛,黑客技术很历害,说自己的生活费都是盗号来的。
我以为他们真的很历害,因为当时盗号真的很容易,那会我还不是很会编程。
在我眼里会编程的很牛B,何况他们说他们随便写什么系统,盗号软件之类的。
过了半年左右吧,回老家遇到他们,他们好像知道我真的懂,就和我说他们是吹的
想和我学,我说你们要真有兴趣可以去哪些网站上面有我视频,也没见他们去。
毕业听说成绩全年级第一的现在听说在跑业务了,另外一个现在在当小学老师。
不说我的同学,你们的同学,先不说有多少进入这行的大牛和信安专业无关,
先看看你们很多信安专业毕业的,同一个班里有几个毕业了从事信安专业的?
有些人的同学里有那些英文很好的,但也没见得从事这行呀。
4.我认为学好IT最重要的一点是兴趣、逻辑思维
解数学题是训练逻辑思维的最好方法,数学好的逻辑思维基本上都不错。
但数学并不是唯一的训练方法,比如推理、下棋啊,需要思考的方法
渗透的时候不就是需要尝试各种方法吗,写程序也一样需要尝试各种函数
很多程序员死板,是因为他们的工作太单一,来来去去就写固定模块或功能
当然逻辑思维不错,也不代表他在IT方面就强,他还得有兴趣学这个。
注意我指的是那些真懂的,不是死记硬背不懂举一反三,表面考试高分的那种。
这也是为什么很多人考试历害,实际上却干不过国外的真正原因。
如果笨的人呢就不适合这行吗?当然没有别人聪明也没关系,你需要多花时间学习
最多就是起步慢一些,很多东西自然会懂的,来来去去就几招,没有学不会的。
但是你自己菜,还要拿英语、数学不好这种来当借口的话,我认为你是真的不适合
如果你一直干这行,你的水平会一直停留在等别人发布文章或工具甚至教程的状态。aa
就拿本文EXP来说,你说英文不好是吧,你可以不看原文,国内有很多英文好的翻译好了
有直接的中文文章中文你看不懂吗?再说cve-2019-0604漏洞出来那么久,你身边英文好的
有几个研究出EXP了?对于中文的很多人都看得懂了吧,为什么也还没人放出EXP工具
真正的原因是什么,并非你是否看得懂哪国文字,根本原因在于你当前的技术水平。
英文好最多就是看英文和看中文一样流畅,翻译成中文看起来一样速度快(大脑自动排序)
明明错乱顺序的文字你一样看得懂,更何况大部份翻译也不是太差,菜和英文真的无关。
写代码就更不需要了,很多开发工具都有提示的,打出首字母会显示出很多,
只要你知道大概长啥样就可以,再不济百度Google查询,微软工程师开发的工具,
写代码时自己都要查看相关文档,科学家研究东西照样需要查找各种资料。
还有很多大牛都说看书只是入门,GOOGLE才是提高(TK在微博和知乎上也经常说这句话)
你区区一个搞IT的,百度GOOGLE查资料你丢脸了?又菜又懒还喜欢找各种借口
这个世界上最可怕的不是有人比你聪明。而是那些比你聪明的人。还比你努力。
