需要500G網絡安全滲透測試視訊教程+源碼筆記+學習路線可以背景私信我回複【網絡安全】即可得
每天都有新聞報道描述着新技術對人們的生活和工作方式帶來的巨大乃至壓倒性影響。與此同時有關網絡攻擊和資料洩露的頭條新聞也是日益頻繁。
攻擊者可謂無處不在:企業外部充斥着黑客、有組織的犯罪團體以及民族國家網絡間諜,他們的能力和蠻橫程度正日漸增長;企業内部是員工和承包商,無論有意與否,他們都可能是造成惡意或意外事件的罪魁禍首。
那作為一個零基礎的小白,此時适合進入網絡安全行業嗎,它的就業前景怎麼樣,應該怎麼選擇适合自己的崗位?
網絡安全崗位詳細分布
本文将針對這幾個問題,逐一進行解答,希望能夠對大家有幫助。
(友情提示,全文五千餘字,内容較多,建議先收藏再觀看,避免後續找不到)
一、網絡安全崗就業前景如何?
先說結論:網絡安全人才一将難求,缺口高達 95%
伴随國家新基建戰略的推行,人工智能、大資料、雲計算、物聯網、5G 等新興技術的高速發展,層出不窮的新型黑客攻擊手法也随之而來,無數政府機關被定向攻擊、企業核心資料被盜、個人敏感資訊洩露。網絡空間安全建設刻不容緩,已成為國家安全建設的重中之重。
在以前,很多政企機關在進行 IT 部門及崗位劃分 時,隻有研發和運維部門,安全人員直接歸屬到基礎運維部;而現在,越來越多機關為了滿足國家安全法律法規的要求,必須成立獨立的網絡安全部門,拉攏各方安全人才、組建 SRC(安全響應中心),為自己的産品、應用、資料保衛護航。
網絡安全崗位
短短幾年間,網絡安全工程師不僅成為了正規軍,還直接躍升為國家戰略型資源,成為衆多企業“一将難求”的稀缺資源。
二、如何選擇适合自己的崗位?
針對這個問題,我們要分步驟來回答。
1、安全崗位分類
首先,我們一起來了解一下網絡安全行業都有哪些崗位?你适合哪些崗位。
咱們新興技術不做羅列,就算傳統的安全崗位:安全産品工程師(或者售後工程師)、安全咨詢師(售前工程師)、滲透測試工程師、銷售、安全開發工程師、安全運維工程師、應急響應工程師、等級保護測評師、安全服務工程師。大體上這麼多,其他小衆崗位就不一一列舉了。
安全崗位的大體工作内容或職責
售後工程師:安全産品的售後服務工作,包括安全産品的傳遞實施、售後支撐、産品調試上架。比如客戶買了咱們的防火牆,咱們要派人去安裝調試吧,總不能讓客戶自己去安裝吧。這是産品工程師或者售後工程師的主要工作内容。
售前工程師:主要是協助銷售完成跟單,說的通俗易懂一點就是跟銷售配合,一個做商務關系(吃吃喝喝、送禮請客)一個做技術方案(解決客戶的痛點),兩個人配合拿下項目。
滲透測試工程師:這個崗位是大多數人夢寐以求的,展現個人技術的時候到了。主要是模拟黑客對目标業務系統進行攻擊,點到為止。
銷售:不再贅述,估計你們年輕的人也不太關心,但是等你成長了,你就會發現,你以前的對銷售的認知是多麼的扯淡。
安全開發工程師:嗯,就是搞開發,要對安全也要了解,比如開發一個web應用防火牆,連web攻擊都不懂,那還開發個啥,閉門造車啊,能防的注嗎?
安全運維工程師:一個機關買了那麼多安全産品,肯定要有人做運維的,分析一下日志,更新一下政策。定期檢查一下業務系統的安全性,檢視一下内網當中有沒有威脅,這都是安全運維工程師要做的内容。
應急響應工程師:客戶業務系統被攻擊,要快速定位安全問題,要快速恢複業務系統,有的甚至還要驗證報警。(家裡如果被偷東西價值太大,你還不報警?心咋這麼大)
等級保護測評師:按照國家要求,重要的業務系統需要按照安全等級進行保護的,目前國家已經釋出了等級保護2.0标準,要按照這個标準進行建設。等級保護測評師的工作就是協助客戶檢查一下業務系統是否滿足等級保護的要求,不滿足的趕緊整改。
安全服務工程師:好多企業把滲透測試工程師也歸到安全服務工程師裡面,無傷大雅。不懂安全服務,還不懂吃飯的服務員嘛,就是協助客戶做好安全工作,具體的内容比如常見的漏洞掃描、基線檢測、滲透測試、網絡架構梳理、風險評估等工作内容。安全服務的面很大的,幾乎涵蓋了上述所有崗位的内容。
說了這麼多崗位,把銷售和開發踢出去,(大多數少年不關心這兩個崗位),其他崗位咱們在劃分一下,其實就是三個方向:安全産品方向、安全營運和資料分析方向、安全攻防和應急方向。除了這個方向,還有個未列出來的方向—安全管理方向,放心少年,這個方向你一時半會用不到,哪個公司傻乎乎的上來就讓一個萌新去做安全管理?
2、公司招聘需求
那麼問題來了?這三個方向學習的内容是一樣的嗎?
顯然不一樣啊,要不然分什麼方向,吃飽撐的啊。這個就跟當年高中文理分科一樣,問啥要分,因為内容太多,不同的人擅長點不一樣,學習的内容那麼多,時間那麼少,要麼壓縮内容,要麼拉長時間。
言歸正傳,這三個方向,在實際工作中需要哪些技能點?
安全産品方向:懂産品,如防火牆、上網行為管理、入侵檢測/保護、網閘、vpn、資料庫審計、堡壘機、抗拒絕服務、雲防護産品、殺毒、準入、web應用防火牆、虛拟化安全産品等等。
安全營運和資料分析方向:安全服務、安全測評、風險評估、等級保護、ISO 27000、日志分析、威脅分析、soc營運等等。
安全攻防和應急方向:web攻防、系統攻防、内網滲透、應急響應、代碼審計、移動apk監測、工控系統安全檢測等等。
以技術方向舉例,我們從招聘網站來看看各個公司對于安全人員的詳細招聘需求:
2.1、滲透測試工程師:
任職要求彙總:
熟練掌握各種滲透測試工具并且對其原理有深入了解(不僅限于 Burpsuite、sqlmap、appscan、AWVS、nmap、MSF,cobalt strike 等等);
至少掌握一門開發語言,操作語言不限 C/C++、Golang、Python、Java 都可,要求至少能寫代碼;
熟練掌握常見的攻防技術以及對相關漏洞( web 或二進制)的原理有深入的了解;
具有豐富的實戰經驗可獨立完成滲透測試工作;
能從防禦者或者運維人員的角度思考攻防問題,對後滲透有深入了解者更佳;
至少熟悉Reverse、Pwn、Web、Crypto、Misc、Mobile其中一項;
對安全有濃厚的興趣和較強的獨立鑽研能力,有良好的團隊精神。
2.2、Web安全工程師
任職要求彙總:
計算機基礎紮實,熟悉常用的資料結構和算法;
熟悉至少一門程式設計語言,具備紮實的編碼能力;
熟悉浏覽器的各項安全特性,對常見Web漏洞的攻防原理有深入了解;
熟悉常見Windows&linux、Web應用和資料庫各種攻擊手段;
熟悉網絡安全測試方法、測試用例、漏洞判定準則;
熟悉滲透測試流程,了解常見的滲透測試工具的用法及原理;
有實際滲透測試經驗,熟悉滲透測試各種提權方法;
熟悉常見腳本語言,能夠進行WEB滲透測試,惡意代碼檢測和行為分析;
悉常見Web高危漏洞(SQL注入、XSS、CSRF、WebShell等)原理及實踐,在各漏洞送出平台實際送出過高風險漏洞優先;
熟練使用各種安全掃描,滲透工具,有豐富的安全滲透經驗并能能獨立完成滲透測試;
掌握MySQL、MSSQL、Oracle、PostgreSQL等一種或多種主流資料庫結構以及特殊性;
三、如何針對目标崗位學習提升?
看完這些,是不是差點被勸退了?
我覺得這是好事,如果你沒考慮清楚是否要從事這個行業的話,勸你還是慎重選擇。
雖然網絡安全行業的市場需求大,但需求是對人才的需求,不是對人的需求,如果你還是想學習網絡安全的話,那可以接着往下看,我給你出一個詳細的自學路線圖。
密密麻麻看起來一大堆,但其實拆解之後就會發現并不難學,給你看看我給團隊小夥伴制定的Web安全學習路線,整體大概半年左右,具體視每個人的情況而定:
(友情提示:覺得有幫助的話可以收藏一下本篇文章,免得後續找不到)
網絡安全自學路線圖
3.1、Web安全相關概念(2周)
熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。
通過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google/SecWiki;
閱讀《精通腳本黑客》,雖然很舊也有錯誤,但是入門還是可以的;
看一些滲透筆記/視訊,了解滲透實戰的整個過程,可以Google(滲透筆記、滲透過程、入侵過程等);
3.2、熟悉滲透相關工具(3周)
熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關工具的使用。
了解該類工具的用途和使用場景,先用軟體名字Google/SecWiki;
下載下傳無後門版的這些軟體進行安裝;
學習并進行使用,具體教材可以在SecWiki上搜尋,例如:Brup的教程、sqlmap;
待常用的這幾個軟體都學會了可以安裝音速啟動做一個滲透工具箱;
3.3、滲透實戰操作(5周)
掌握滲透的整個階段并能夠獨立滲透小型站點。
網上找滲透視訊看并思考其中的思路和原理,關鍵字(滲透、SQL注入視訊、檔案上傳入侵、資料庫備份、dedecms漏洞利用等等);
自己找站點/搭建測試環境進行測試,記住請隐藏好你自己;
思考滲透主要分為幾個階段,每個階段需要做那些工作;
研究SQL注入的種類、注入原理、手動注入技巧;
研究檔案上傳的原理,如何進行截斷、雙重字尾欺騙(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等;
研究XSS形成的原理和種類,具體學習方法可以Google/SecWiki;
研究Windows/Linux提權的方法和具體使用;
3.4、關注安全圈動态(1周)
關注安全圈的最新漏洞、安全事件與技術文章。
通過SecWiki浏覽每日的安全技術文章/事件;
通過Weibo/twitter關注安全圈的從業人員(遇到大牛的關注或者好友果斷關注),天天抽時間刷一下;
通過feedly/鮮果訂閱國内外安全技術部落格(不要僅限于國内,平時多注意積累),沒有訂閱源的可以看一下SecWiki的聚合欄目;
養成習慣,每天主動送出安全技術文章連結到SecWiki進行積澱;
多關注下最新漏洞清單,推薦幾個:exploit-db、CVE中文庫、Wooyun等,遇到公開的漏洞都去實踐下。
關注國内國際上的安全會議的議題或者錄像,推薦SecWiki-Conference。
3.5、熟悉Windows/Kali Linux(3周)
學習Windows/Kali Linux基本指令、常用工具;
熟悉Windows下的常用的cmd指令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等;
熟悉Linux下的常用指令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;
熟悉Kali Linux系統下的常用工具,可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
熟悉metasploit工具,可以參考SecWiki、《Metasploit滲透測試指南》。
3.6、伺服器安全配置(3周)
學習伺服器環境配置,并能通過思考發現配置存在的安全問題。
Windows2003/2008環境下的IIS配置,特别注意配置安全和運作權限,;
Linux環境下的LAMP的安全配置,主要考慮運作權限、跨目錄、檔案夾權限等;
遠端系統加強,限制使用者名和密碼登陸,通過iptables限制端口;
配置軟體Waf加強系統安全,在伺服器配置mod_security等系統;
通過Nessus軟體對配置環境進行安全檢測,發現未知安全威脅。
3.7、腳本程式設計學習(4周)
選擇腳本語言Perl/Python/PHP/Go/Java中的一種,對常用庫進行程式設計學習。
搭建開發環境和選擇IDE,PHP環境推薦Wamp和XAMPP,IDE強烈推薦Sublime;
Python程式設計學習,學習内容包含:文法、正則、檔案、網絡、多線程等常用庫,推薦《Python核心程式設計》,不要看完;
用Python編寫漏洞的exp,然後寫一個簡單的網絡爬蟲;
PHP基本文法學習并書寫一個簡單的部落格系統,參見《PHP與MySQL程式設計(第4版)》、視訊;
熟悉MVC架構,并試着學習一個PHP架構或者Python架構(可選);
了解Bootstrap的布局或者CSS;
3.8、源碼審計與漏洞分析(3周)
能獨立分析腳本源碼程式并發現安全問題。
熟悉源碼審計的動态和靜态方法,并知道如何去分析程式;
從Wooyun上尋找開源程式的漏洞進行分析并試着自己分析;
了解Web漏洞的形成原因,然後通過關鍵字進行查找分析;
研究Web漏洞形成原理和如何從源碼層面避免該類漏洞,并整理成checklist。
3.9、安全體系設計與開發(5周)
能建立自己的安全體系,并能提出一些安全建議或者系統架構。
開發一些實用的安全小工具并開源,展現個人實力;
建立自己的安全體系,對公司安全有自己的一些認識和見解;
提出或者加入大型安全系統的架構或者開發;
這個路線圖已經詳細到每周要學什麼内容,學到什麼程度,可以說我整理的這個Web安全路線圖對新人是非常友好的,除此之外,我還給團隊小夥伴整理了相對應的學習資料,如果你需要的話,我可以分享一部分出來(涉密部分分享不了)。
如果覺得有幫助的話,可以幫我點贊收藏一下,寫的不對或不清楚的地方,也歡迎大家在評論區指出,謝謝!
背景私信回複網絡安全即可得
需要了解可背景私信回複【網絡安全】