首页 > 其他分享 >为什么学网络安全技术,还要先签个免责声明?

为什么学网络安全技术,还要先签个免责声明?

时间:2024-06-21 11:58:46浏览次数:24  
标签:网络安全 先签 免责 渗透 学习 漏洞 SQL 工具

前言

为什么学黑客技术,还要先签个免责声明?作为一个工作了七年的老王工,来和大家唠一唠。

原因很简答,很多人有了技术后,抵挡不住诱惑,成为了黑帽黑客,利用漏洞来攻击网络或者计算机,扰乱互联网环境,于是就需要更多白帽子来维护网络安全。毕竟老师在教学生之前,并不知道这个人品行如何,只能不断强调让大家遵纪守法,我真的不想再协助警察叔叔的时候,看到名单里面一个个熟悉的名字了。

那么如果是自学,要如何成为一名合格的网络安全工程师呢?

编辑

一、如何学习网络安全

​1.不要试图以编程为基础去学习网络安全

不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,且过渡到网络安全用到编程的用到的编程的关键点不多。一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少。学习编程能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识

2.不要刚开始就深度学习网络安全

学习讲究这方法,需要一步一步的来,由浅至深,慢慢的加大难度,很多人刚开始就猛学,很容易到后面的时候乏力,越学可能就越学得枯燥,到最后就很容易放弃了。

3.收集适当的学习资料

网上有很多网络安全的学习资料。而很多朋友都有“收集癖”,一下子很多书籍,收藏几十个视频,觉得学习资料越多越好,然而网上的学习资料重复性极高。建议选择大众受用的学习资料。

4.适当的报班学习

很多人觉得报班就是浪费钱财,觉得自己自学就很好了,但其实自学也是需要一定的天赋和理解能力,且自学的周期较长,一些急躁的学习者或者急于找到工作的学习者,还是报班学的比较轻松,学习周期不长,学到的东西也不会少,建议学习者根据自己的自身条件选择是否报班。

二、当一个网络安全工程师要具备的技能

1、编程语言: Python,PHP,web前端三件套(HTML/CSS/JavaScript 基础),Mysql。

作为一种高级编程语言,Python越来越受到网络专家的欢迎。它之所以吸引人,主要是因为它代码的可读性、语法清晰和简单,以及大量库的可用性。

PHP是用于开发网站的服务器端编程语言。由于大多数网站都是使用PHP创建的,因此学习该语言可以让你了解如何抵御入侵者。

SQL(结构化查询语言)主要用于管理存储在数据库中的数据。由于当前数据存储系统的爆炸式增长,SQL被广泛用于维护和检索数据。同样,黑客越来越多地编排语言来破坏或泄露存储的数据。例如,SQL注入攻击涉及利用SQL漏洞来窃取或修改数据库中保存的数据。因此,充分了解SQL语言对于网络安全至关重要。

2、开发工具: Phpstrom、Pycharm、Navicat 等。

PhpStorm 是 JetBrains 公司开发的一款商业的PHP集成开发工具,旨在提高用户效率,可深刻理解用户的编码,提供智能代码补全,快速导航以及即时错误检查。

PyCharm是一种Python IDE(Integrated Development Environment,集成开发环境),带有一整套可以帮助用户在使用Python语言开发时提高其效率的工具,比如调试、语法高亮、项目管理、代码跳转、智能提示、自动完成、单元测试、版本控制。

“Navicat”是一套可创建多个连接的数据库管理工具,用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和/或 MongoDB 等不同类型的数据库,并支持管理某些云数据库。

3、安全工具: Kali-linux、Metasploit(漏洞监测工具)、Burp Suite(网络漏洞扫描器)、Awvs、Sqlmap、Nmap(端口扫描器)、Cobaltstrike、Nessus、Xary、 Wireshark(手动分析包工具)、John The Ripper(密码破解)、蚁剑、冰蝎、哥斯拉等。

下面对常用工具为您详细描述一下。

Kali-linux是基于Debian
的Linux发行版, 设计用于数字取证操作系统。预装了许多渗透测试软件,包括nmap 、Wireshark 、John the Ripper

Nmap(端口扫描器):nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统

Metasploit(漏洞监测工具):Metasploit是一款开源的安全漏洞检测工具,可以帮助专业人士识别安全性问题,并验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。

Wireshark(手动分析包工具):Wireshark是非常流行的网络封包分析软件,可以截取网络封包,并尽可能显示出最为详细的网络封包资料。

Burp Suite(网络漏洞扫描器):burpsuite是一款强大的渗透测试套件,包括但不限于各类渗透测试功能,搭配各类插件使用已经成为渗透测试中一款离不开的测试软件。

John The Ripper(密码破解):John The Ripper是一个快速破解密码的软件,主要用于已知密文的情况下尝试破解出明文,目前支持大多数的加密算法。

4、安全技能:熟悉 OWASP TOP10 相关漏洞原理、利用方法及防范措施。

OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。

5、熟悉 PTES 渗透测试流程并输出报告。

第一阶段:前期交互

第二阶段:信息收集分析

第三阶段:威胁建模

第四阶段:漏洞分析

第五阶段:渗透攻击

第六阶段:后渗透测试

第七阶段:渗透测试报告

6、熟悉内网渗透思路及免杀方法。

常用的内网渗透方法:

(1)端口转发

因为目标处于内网,通常外网无法访问导致渗透存在一定难度,这时就需要一些端口转发工具和反弹代理等操作。

Windows工具:Lcx.exe端口转发工具;Htran.exe端口转发工具;ReDuh端口转发;

Linux工具:rtcp.py、Puttp+ssh Socks代理;Msf。

(2)HASH值抓取工具:Pwdump7;Gsecdump;WCE;Getpass(基于mimikatz)工具逆向获取铭文密码。

(3)密码记录工具:WinlogonHack——劫取远程3389登录密码;NTPass——获取管理员口令;键盘记录专家;Linux下的openssh后门;Linux键盘记录sh2log。

(4)漏洞扫描

Nmap——可以对操作系统进行扫描,对网络系统安全进行评估

Metasploit——强大的内网渗透工具

HScan——扫描常见漏洞

(5)第三方服务攻击

1433——SQL server服务攻击

3306——Mysql服务攻击

其他第三方服务漏洞

(6)ARP和DNS欺骗

利用内网嗅探工具抓取网络信息继而发起攻击

CAIN——网络嗅探工具

7、熟悉 TCP/IP 模型及常见网络协议。

(1)OSI的七层协议:从上到下:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。

(2)TCP/IP四层协议:从上到下:应用层,传输层、网络层、数据链路层。

(3)五层协议:从上到下:应用层、传输层、网络层、数据链路层、物理层。

8、熟悉 windows、linux 系统基线检查与应急响应。
9、了解代码审计流程及工具使用。

(1)配置审计分析环境

(2)熟悉业务流程

(3)分析程序架构

(4)工具自动化分析

(5)人工审计结果

(6)整理审计报告

三、网络安全学习路线图

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

《网络安全入门+进阶学习资源包》
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享


学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

网络安全源码合集+工具包

网络安全面试题

最后就是大家最关心的网络安全面试题板块

全部资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

黑客/网安大礼包:《CSDN大礼包:<黑客&网络安全入门&进阶学习资源包>免费分享》

标签:网络安全,先签,免责,渗透,学习,漏洞,SQL,工具
From: https://blog.csdn.net/weixin_42340783/article/details/139856328

相关文章

  • 如何使用GPT_Vuln-analyzer并利用ChatGPT来进行网络安全分析
    关于GPT_Vuln-analyzerGPT_Vuln-analyzer是一款基于人工智能技术实现的网络安全工具,该工具能够演示如何使用人工智能技术为漏洞分析生成准确的结果。该工具使用了当前炙手可热的ChatGPT API,以及Python Nmap和DNS Recon模块,并使用了GPT3模型基于Nmap扫描数据和DNS扫描信息......
  • 【网络安全的神秘世界】渗透之信息收集流程
    ......
  • 编码在网络安全中的应用和原理
    什么是编码,为什么要有编码?众所周知,计算机只能够理解0和1,也就是二进制。可是我们的世界0和1以外,还有太多太多的符号和语言了,这时候,我们通过人为的规定一种0和1的排列组合顺序为某一种符号或者语言,这就是编码。是一种人为的规定的一种映射集合。想要了解网络安全,学习网络安全知......
  • 《网络安全设计权威指南》阅读笔记
    安全系统工程是关于如何优化目标系统,使目标系统风险最小化,而不是如何最大化网络安全的投资规模。安全权衡的因素:用户友好度、时间、员工士气、商机流失、机会成本、服务或产品的数量、质量及成本、有限资源(算力、电力、空间等)避免为敌对者提供高价值目标,避免价值汇聚。知道他人......
  • 网络安全筑基篇——CSRF、SSRF
    前言本篇文章相对于来说比较水,大家看不懂的话,多去百度,去了解相关的知识大家一定要多去理解这个原理,理解的同时去打打靶场,就能很快上手啦什么是CSRF?CSRF(即跨站请求伪造)是指利用受害者尚未失效的身份认证信息、(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面......
  • VMware NSX 4.1.2.4 - 网络安全虚拟化平台
    VMwareNSX4.1.2.4-网络安全虚拟化平台构建具有网络连接和安全性的云智能网络,跨多种云环境支持一致的策略、运维和自动化。请访问原文链接:https://sysin.org/blog/vmware-nsx-4/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgVMwareNSX提供了一个敏捷式软件定......
  • 作为一名黑客/网络安全专家,应该掌握什么技能?熟悉哪些常规软件/工具?
    作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,对于一些必备的技能和常规需要熟悉的软件做一个介绍:技能要求:加密和解密技术-了解各种加密算法......
  • 入门/转行网络安全,实现自己“黑客梦”,看完这篇足够了!
    写这篇教程的初衷是很多朋友都想了解如何入门/转行网络安全,实现自己的“黑客梦”。文章的宗旨是:1.指出一些自学的误区2.提供客观可行的学习表3.推荐我认为适合小白学习的资源.大佬绕道哈!一、自学网络安全学习的误区和陷阱1.不要试图先成为一名程序员(以编程为基础的学习)......
  • 千峰网络安全学习4 NTFS安全权限&DHCP&DNS
    NTFS安全权限1.文件系统概述格式 系统FAT windowsNTFS windowsEXT linuxNTFS特点提高磁盘读写性能可靠性加密文件系统访问控制列表磁盘利用率压缩磁盘配额支持单个文件大于4个G修改NTFS权限1.取消继承作用:取消后,可以任意修改权限列表方法:文件右键属性-安全-......
  • 自学黑客(网络安全)
    前言:想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻......