1. 安全法(笔者认为学习网络安全前首先得学这个)
不是这个↑
-
网络安全法律:了解网络安全相关的法律法规和伦理标准。
-
合规性与标准:学习ISO 27001、GDPR等安全标准和合规要求。
2. 基础知识
-
计算机网络基础:了解网络的基本原理,如TCP/IP协议、OSI模型、路由和交换等。
-
操作系统基础:熟悉至少一种操作系统(如Windows、Linux或macOS)的工作原理和常用命令。
3. 编程语言
-
基础编程:首先就是基础前端三件套:html、js、css,其次学习至少一种编程语言,如Python、C、php或Java,这将帮助你理解漏洞的成因和编写自动化脚本。
-
数据库:mysql语法
-
脚本语言:掌握如Bash或PowerShell、python等脚本语言,用于自动化任务和快速原型开发。
4. 网络安全基础
- 安全概念理论部分:学习基本的网络安全概念,包括加密、哈希、身份验证和授权。了解一些专业名词(包括但不限于:肉鸡、漏扫、打点、远控、木马、后门…)
5. 操作系统安全
-
Linux安全:学习Linux系统安全配置和常见的安全工具。(包括Linux开源的各类版本)
-
Windows安全:了解Windows安全机制和安全配置。
6. 网络安全基础技术点
-
Web安全:学习Web应用的工作原理和常见的Web安全漏洞,常见攻击类型:了解常见的网络攻击类型owasp top 10的漏洞逻辑原理和复现,以及一些常见的web漏洞,包括但不限于:SQL注入、XSS、CSRF、反序列化、URL重定向、XXE、SSRF、远程命令执行、任意文件读取、JSONP、文件包含、文件上传、CORS、越权等…
(欢迎评论区补充)
7. 安全工具与实践
基于上述可以穿插学习各类网络安全工具,包括但不限于如下:
-
渗透测试工具:熟悉常见的渗透测试工具,如BurpSuite、Sqlmap、kali、YARA、Metasploit Framework等。
-
安全扫描与评估:学习如何使用工具进行安全扫描和风险评估。
-
中间件:iis、apache、nginx、tomcat、weblogic…
-
提权:window提权、linux提权、权限维持
-
内网项目:渗透测试漏洞挖掘与报告输出、外网到内网域渗透
-
其他:Java代码审计、JS逆向、程序应用渗透