zhusong2019-06-12 15:57:45先說學什麼:主要是計算機以及網路專業相關內容包括但不限於多種語言的計算機程式設計、演算法、計算機網路、各種網路協議等等。還有就是數學專業的相關內容包括但不限於高等數學、機率論與數理統計、資訊保安數學基礎、離散數學、空間解析幾何、密碼學、組合數學、微積分等等。各學校專業設定可能有所不同。但大體上差不多。
再說難度:感興趣的話都不難。特別是學完這些之後再看駭客帝國那種茅塞頓開的感覺真的很好。希望對你有所幫助。
melo2019-06-16 12:08:17你要學英語。
要學各種基礎:計算機網路、密碼學、資訊保安數學、網路協議、網路程式設計。。。
要學程式設計:C/C++、PHP、Python、Java、JS、ASP、JSP。。。
要熟悉作業系統:Windows/Windows server、Linux、Android。。。
要掌握工具:虛擬機器、Wireshark、Nmap、burp、Sqlmap、Metasploit。。。
要精通漏洞:SQL注入、XSS、CSRF、SSRF、命令/程式碼執行、檔案包含、檔案上傳、弱口令、邏輯漏洞、越權、XXE。。。
要熟悉各種前後端中介軟體:HTML、Mysql/Access/SQL server、Apache/Tomcat、Weblogic、
你可能還要掌握其它的才有競爭力:爬蟲、程式碼審計、內網滲透、安全開發。。。
最重要的是:以上只是資訊保安專業的一個分支“Web安全”需要可能需要學的東西,你就是全部精通了,技能樹也只算冰山一角...
結論:難得一匹,90%以上的人最終從該專業退出了,我呢,五年都沒入門,還在行業邊緣掙扎求存。
當然,認認真真踏踏實實學這些東西,可能就沒問題。
2020/11/18更新
又過去一年了,還是啥都不會,太難了,太難了,太難了。。。。
2021/10/20更新
真氣人,接觸資訊保安8年了,大學畢業都四年了,依然沒學會什麼東西,比如最基礎的SQL注入,完全像看天書,這輩子估計都搞不懂這玩意兒。還有其它亂七八糟的各種漏洞,什麼CORS、SSRF,為什麼這麼難理解,不知道那些大佬是怎麼學的。至於什麼程式碼審計、內網滲透之類的,你們都是超人嗎?怎麼學懂的?
我懶是一個原因,笨是另一個原因,但我想,這玩意兒太難了是主要原因,不然我就真的是一個廢物了。
再給我十年,我不知道能不能追上一些大學時期同學當時的水平,但另一方面,再過十年八年我年齡大了還學得動嗎,真苦惱。
熱心市民悠悠小姐2020-07-15 18:29:10大家對於資訊保安或網路安全比較熟悉的詞應該就是“駭客”了吧,事實上從事網路安全的人在技能上確實讓你說一句“我擦,這也可以”。資訊保安領域的內容比較雜,很多大學是資訊保安專業的同學發現畢業時好像什麼也沒學到,又有一些非資訊保安專業卻此次很有興趣想要自學的,該如何走好第一步,或者要經過幾步才能真正入坑?
學習·理論
首先肯定要學一些技術方法論了,這個階段就是入門,C、C++、彙編都是基礎中的基礎,還有例如軟體逆向以及軟體除錯等初級知識需要掌握,有了這些打底之後,才能深入作業系統核心去了解些作業系統的真正原理。
Web安全的技能點同樣多的數不過來,因為要搞Web方向的安全,意味初學者要對Web開發技術有所瞭解,例如能透過前後端技術做一個Web網站出來,好比要搞[網路安全],首先要懂如何搭建一個網路出來。那麼,Web技術就涉及到以下內容:
通訊協議:TCP、HTTP、HTTPs
作業系統:Linux、Windows
服務架設:Apache、Nginx、LAMP、LNMP、MVC架構
資料庫:MySQL、SQL Server、Oracle
程式語言:前端語言(HTML/CSS/JavaScript)、後端語言(PHP/Java/ASP/Python)
如果按照上面的技能全部學完,不僅時間週期非常長,估計大部分人連學後面安全的興趣都沒有了。所以,這就說到Web安全這個行業另外一個常態了:大部分做Web安全的,並不是剛開始就對Web開發技術非常熟悉的,很多都是半路殺出來了,甚至連Web網站都沒有架設過的,這種大有人在。因此有更加狹義的Web安全技術點:
安全理論:OWASP TOP 10 、PETS、ISO 27001…
後端安全:SQL注入、檔案上傳、Webshell(木馬)、檔案包含、命令執行…
前端安全:XSS跨站指令碼攻擊、CSRF跨站請求偽造…
安全產品:Web漏洞掃描(Burp/WVS/Appscan)、WAF(Web應用防火牆)、IDS/IPS(Web入侵防禦)、Web主機防護
因此,Web開發技術和Web安全技術其實是相輔相成的,如果對Web開發比較熟悉,意味著研究Web安全時能夠更加底層,而不止於安全工具和指令碼層面。
>>>。學習 Web 安全方向需要有一定的程式設計基礎<<<<
推薦
書單:
《白帽子講Web安全》
《Hacking the Hacker》
《駭客大曝光》
推薦資訊保安書籍27本(含電子書)
分享一點知識圖譜:
比如一些前輩的分享:
計算機專業的學生怎麼獲取免費線上課程
趙武:資訊保安從業者入門(入職)指南
任曉琿:駭客技術/資訊保安/網路安全從零學起[更新20180925]
學習資訊保安怎樣入門?
網盤資料:
【彙總篇】工具及教程分享連結:
連結:
https://
pan。baidu。com/s/1uzVqks
n44fP2iba5qrJLVA
密碼:u8p4
【其他 1】linux下無限制版nessus,重新更新連結:
https://
pan。baidu。com/s/1byuxNO
acLhIgwijAqW6NWg
提取碼: 2333
最新更新包,部署和密碼看圖連結:
https://
pan。baidu。com/s/1OHQJcy
1I6fVJGXh-BAG_eA
提取碼: 23g8
【其他2】Linux版awvs最新版v_190325161破解
連結:
https://
pan。baidu。com/s/1L_X8Dd
tSGGmtddaaK7MT1Q
提取碼: v463
【其他3】Burpsuite和Metasploit基礎教程
連結:
https://
pan。baidu。com/s/13jHPIX
PWFl5tZShtQjiEwQ
提取碼: 4a65
連結:
https://
pan。baidu。com/s/1pVp8aG
0m_qFSuPs1MZvhyA
提取碼:risd
連結:
https://
pan。baidu。com/s/1f5jIAS
YksUSR76CcT-I0xQ
密碼:jdux
以上是告訴你怎麼學,接下來說學會了怎麼去動手啊?“沒病你就出來走兩步”,實踐是檢驗真理的唯一辦法——挖洞,有很多漏洞安全提交平臺可以讓你去挖洞,又或者參加一些CTF比賽,如何參加,可以看我之前的一篇內容:
https://www。
zhihu。com/question/3210
53471/answer/745274731
實踐 · 挖洞
去SRC廠商挖洞,比如這些,我這裡就不一一贅述了:
挖洞流程:
利用搜集好的域名
Github搜尋“src 域名”
https://github。com/search?q=src+域名
SRC基礎資訊收集
微信公眾號、xxsrc微信群。主要關注雙倍積分活動、獎勵大小、技術交流群裡的資訊。
透過公開資訊掌握基礎漏洞
在公開了漏洞標題的平臺找最近活躍的漏洞型別是什麼,然後找相關的例項學習。
透過公開資訊掌握賞金較高的業務系統
透過某些公開了的漏洞標題找到業務系統,然後找同類型業務系統測試
https://
sec。ly。com/bugs
https://
hackerone。com/hacktivit
y?sort_type=latest_disclosable_activity_at&filter=type%3Aall&page=1&range=forever
https://
dvpnet。io/lddt
大量的漏洞提交
不同的應急響應中心對業務漏洞的關注度不同,多提交才能知道哪些漏洞是能夠高危的
1。不透過是因為寫的不夠詳細,稽核復現太麻煩,沒有url,
2。教育和政府類發現xss不收,高危漏洞型別收的快
3。getshell評分高
漏洞新玩法
1。程式碼審計白盒挖掘傳統漏洞
2。傳統漏洞比較少(更多是業務邏輯,越權,資源耗盡導致的拒絕服務,多個漏洞的組合拳(xss+csrf))
3。需要更深層的資產蒐集(比如阿里18週年,app蒐集)
4。跟蹤最新業務(京東618之前,上線了京東保租業務,近期上線了京東房產)
5。大資料分析(採集白帽子們提交的漏洞標題,分析挖洞行為)
6。業務和漏洞威脅情報
7。app漏洞挖掘
8。c/s架構漏洞挖掘/lot裝置漏洞挖掘
9。hacker0ne公開的漏洞姿勢學習和twitter上的分享
漏洞掃描器收集
Scanners Box是一個集合github平臺上的安全行業從業者自研開源掃描器的倉庫
https://
github。com/We5ter/Scann
ers-Box
原部落格地址:
https://www。
cnblogs。com/17bdw/p/118
16373。html
一旦你入門資訊保安了,請嚴格遵守法律,樹立正確價值觀,以上的分享大部分來自網路整理。
知乎使用者2020-07-29 14:02:13難的一批啊,水不僅深還寬,簡直就是汪洋大海。
啥都要學,不勝列舉。
以上是對於我這種菜雞而言,對那些開了掛的人則另當別論。
安擎網路安全2020-09-27 16:47:56資訊保安,聽起來 “高大上”,似乎有點高深莫測,實際上我們一點也不陌生。在資訊化的今天,我們接觸到的資訊保安事例比比皆是。比如我們日常使用的智慧手機的指紋鎖,身份證辦理時錄入的指紋,擁有 “黑科技”的虹膜識別技術,支付寶等軟體線上交易時生成的動態驗證碼,電腦上的防火牆等。
資訊保安,簡稱信安,是指保持資訊的保密性、完整性、可用性以及真實性、可核查性、不可否認性和可靠性等。
資訊保安是研究資訊獲取、儲存、傳輸和處理中的安全保障問題的一門學科。主要學習和研究密碼學理論與方法、裝置安全、網路安全、資訊系統安全、內容和行為安全等方面的理論與技術,是集數學、計算機、通訊、電子、法律、管理等學科為一體的交叉性學科。
一、資訊保安專業學什麼?
核心課程:
程式設計與問題求解、離散數學、資料結構與演算法、計算機網路、資訊保安導論、密碼學、網路安全技術、計算機病毒與防範等。
主要實踐課程:
密碼學實驗、網路安全技術實驗、計算機病毒與防範實驗、資料結構與演算法課程設計、計算機原理課程設計、資料庫系統原理課程設計、計算機網路課程設計、作業系統課程設計、資訊保安課程設計等。
以中國科學技術大學為例,
資訊保安專業是高度融合的學科,其課程特點是偏重計算機和數學
。計算機類課程有:作業系統、資料庫基礎、計算機網路、編譯原理和技術、網路安全、計算機安全等;數學課程有:近世代數與數論、數理邏輯與圖論。
全國開設資訊保安專業的高校,課程設定依據各自情況可能會略有不同。
二、就業前景
資訊是社會發展的重要戰略資源。國際上圍繞資訊的獲取、使用和控制的鬥爭愈演愈烈,資訊保安成為維護國家安全和社會穩定的一個焦點,各國都給以極大的關注和投入。網路資訊保安已成為亟待解決、影響國家大局和長遠利益的重大關鍵問題,它不但是發揮資訊革命帶來的高效率、高效益的有力保證,而且是抵禦資訊侵略的重要屏障,
資訊保安保障能力是21世紀綜合國力、經濟競爭實力和生存能力的重要組成部分,是世紀之交世界各國都在奮力攀登的制高點
。資訊保安問題全方位地影響我國的政治、軍事、經濟、文化、社會生活的各個方面,如果解決不好將使國家處於資訊戰和高度經濟金融風險的威脅之中。
總之,在網路資訊科技高速發展的今天,資訊保安已變得至關重要,資訊保安已成為資訊科學的熱點課題。目前我國在資訊保安技術方面的起點還較低,國內只有極少數高等院校開設“資訊保安”專業,資訊保安技術人才奇缺。
本專業畢業生可在政府機關、國家安全部門、銀行、金融、證券、通訊領域從事各類資訊安全系統、計算機安全系統的研究、設計、開發和管理工作,也可在IT領域從事計算機應用工作
。我們應充分認識資訊保安在網路資訊時代的重要性和其具有的極其廣闊的市場前景,適應時代,抓住機遇!
三、哪些同學適合報考資訊保安專業?
1、數學功底要好
資訊保安專業和數學、計算機等學科聯絡緊密,是個高度融合的學科。
以中國科學技術大學為例,資訊保安專業需要學習數學、計算機、通訊、電子等多方面的知識。尤其需要較好的數學和計算機基礎。例如資料結構與演算法則需要線性代數、離散數學等數學功底。
2、動手實戰能力要強
網路安全行業非常強調動手能力,講究人與人的技術對抗,非常需要具備實戰對抗能力的安全人才。據知了堂學員介紹說,在校期間主修的資訊保安專業,多以理論為主,實踐操作很少。畢業工作後,發現知識早已過時,不得不從頭學起。建議報考該專業學生在校學習時要多動手操作實踐,要有較高網路空間安全綜合專業素質,較強的實踐能力和創新能力。
知了堂攜手安全領域巨頭聯手打造強勢網路安全課程
,主要內容包括:
(1)網路及系統安全
路由交換技術
防火牆/IPS/IDS
資料包分析
Windows及Linux系統
系統安全加固
企業網路系統安全架構設計
(2)Web安全
Web基礎
HTML+CSS
JavaScript
PHP
Python基礎及爬蟲
資料庫安全
Web安全漏洞及防禦
Web安全攻防實戰
(3)滲透測試
資訊收集
社會工程學
漏洞利用
滲透提權
內網滲透
惡意程式碼分析
逆向
(4)安全服務
法律法規
等保2。0
風險評估
應急響應
取證溯源
綜合實踐
(5)CTF專項練習
(6)贈送nisp證書(限在校大學生)
網路安全最重要的還是攻防技術,掌握知識點最快的方法就是實踐,結合實戰靶場,可以有效的提高攻防技術。所以除了專業課程的安排,知了堂還安排了CTF專項練習,學員可以在實驗平臺上進行日常的自我學習和訓練,進行攻防技術實操訓練。
關於成都信安培訓相關細節,歡迎私聊,不管你選不選擇在知了堂學習,不用覺得尷尬。
