如何踏入信安之路

渗透测试 2017-12-03

俗话说:未知攻 焉知防,随着网络安全事件不断的发生,就在 2017 年 5 月 12 日起,全球范围内爆发的基于 Windows 网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的 NSA 黑客武器库中 “永恒之蓝” 攻击程序发起的网络攻击事件。英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。此次事件把网络安全再一次推向一个高峰,很多人开始接触信息安全。

于是乎很多人都产生了一个问题,我什么都不会,只会开关机电脑。我学的不是信息安全专业要怎么去学习,没有学习路线,思路。于是表哥来帮你解决,2333,。

其实表哥开始学习的时候也存在跟你们一样,找不到好的学习资源,没人提供学习路线,遇到问题没人解答。

学习信安首先要有足够的耐心,戒骄戒躁,不要拿到一本书或者一段视屏资料,一看讲的什么鬼,看不懂,不理解,就不去学习、研究。信安这条路没有捷径,只有脚踏实地的去学习、练习你也能成为大佬,古人云:“路漫漫其修远兮,吾将上下而求索”。你能静下心来去学习,不受外界的干扰,那么你已经离成功更近了一步。

前面讲一些学习心得,学习信安首先你要有一个明确的目标,其次你需要学习一些基础的知识:

关于 web

操作系统:windows、linux、unix

存储:数据库存储(mysql、sql server oracle等)、内存存储、文件存储

服务器端语言:PHP、JSP、.NET、ASP 等

web开发框架:Django、Rails、ThinkPHP

web应用:BBS、CMS、BLOG

前端:jQuery、Bootstrap、HTML5

基本知识

linux 系统基本使用 ( shell 脚本的使用,基础命令)

windows 就不说了

HTTP 协议:工作原理,请求参数 cookie 等

PHP:基本编写、能看懂代码、了解函数即可

SQL:熟悉基本的查询语句

javascript:基本的代码的编写

googlehack:基本搜索语句

shodan:基本的语句

编程语言

至少精通一门编程语言,C、JAVA、Python 等,表哥推荐 python,根据个人来定

web漏洞学习

OWASP Top 10 漏洞原理以及产生的原因以及防护 ( SQL 注入、上传、XSS、CSRF、一句话木马等)

常用工具

当然我们是需要工具辅助的:Burp、sqlmap、awvs、nessus、nmap、kali 等

漏洞练习平台

边学则需要边练习:靶机 DVWA、webug、Metasploitable3、OWASP_Broken_Web_Apps

参加 CTF

当然不要忘了现在最流行的 CTF。

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。

CTF 起源于 1996 年 DEFCON 全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,

2013 年全球举办了超过五十场国际性 CTF 赛事。而 DEFCON 作为 CTF 赛制的发源地,DEFCON CTF 也成为了目前全球最高技术水平和影响力的 CTF 竞赛,类似于 CTF 赛场中的“世界杯” 。

1、解题模式:

在解题模式 CTF 赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的 CTF 竞赛与 ACM 编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web 渗透、密码、取证、隐写、安全编程等类别

2、攻防模式(Attack-Defense):

在攻防模式 CTF 赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式 CTF 赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续 48 小时及以上),同时也比团队之间的分工配合与合作。

3、混合模式(mix):

结合了解题模式与攻防模式的 CTF 赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式 CTF 赛制的典型代表如 iCTF 国际 CTF 竞赛。

参加 SRC

当然除了 CTF ,还有各大 SRC ,平台如下:

漏洞盒子:https://www.vulbox.com/

补天:http://loudong.360.cn/

教育平台 src:https://src.edu-info.edu.cn/

漏洞银行:https://www.bugbank.cn/

适当参加安全培训

安全牛:https://edu.aqniu.com/

合天在线实验平台:http://www.hetianlab.com/

i 春秋:https://www.ichunqiu.com/

CTF 实验吧:http://www.shiyanbar.com/ctf/practice

实验楼高效学编程:https://www.shiyanlou.com/

慕课网:http://www.imooc.com/course/landingpagephp?from=phpkecheng

关注安全资讯

当然学信安还得了解最新的信安咨询,如:

freebuf:http://www.freebuf.com/

安全客:http://bobao.360.cn/

指尖安全:https://www.secfree.com/

secwiki:https://www.sec-wiki.com/index.php

关注国内安全漏洞库

exploit:http://www.1mydh.com/h-col-101.html

国家信息安全漏洞共享平台:http://www.cnvd.org.cn/

中国国家信息安全漏洞库:http://www.cnnvd.org.cn/

基础书籍推荐

书籍人类精神食粮,基础书籍如下:

《http 权威指南》

《javascript 权威指南》

《xss 跨站脚本攻击与防御》

《白帽子讲 web 安全》

《web 前端黑客技术揭秘》

《代码审计:企业级 web 安全代码架构》

《细说 php》

《sql 注入攻击与防御》

《网络扫描技术揭秘》

《python 黑帽子》

《黑客技术攻防宝典:web 安全篇》

《加密与解密》

总结

不积跬步无以至千里,不积小流无以成江海。你所付出的努力不是能够获得即时回馈的,甚至在很长的一段时间内你发现自己一无所获,学习是一种长期的投资,只要你坚持下来最后你会发现你所沉淀的在不经意间已经爆发出来,再回首前路一切的付出都是值得的。选择一个正确的方向,对那些无法及时获得回报的事情,依然付出十年如一日的专注和热情,最终的结果也许不足以让你孤独求败,但是足以出类拔卒。

最后说一点,建议大家看一看提问的艺术,随便可以看看渗透测试标准:

https://www.processon.com/view/583e8834e4b08e31357bb727


本文由 myh0st 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

楼主残忍的关闭了评论