自学网络安全你为什么一学就废?
之前写过很多自学网络安全相关的文章,各种学习路线、学习资料、学习教程、推荐书籍都有过详细的推荐,但是依旧会有很多小伙伴会私信问我们怎么学习网络安全?为什么自学这么难?在这里,就再次地把自学的学习路线进行整理,然后剖析一下大家为何一学就废?以及一些应对的小技巧。
首先要弄清楚,网络安全包含的内容非常多,范围非常广,里面分为很多板块,包括:网络安全、web安全、云安全、移动安全、桌面安全、主机安全、工控安全、无线安全、数据安全等等不同的领域。
本文提到的网络安全就是web安全,因为小白从web安全入门的难度最低,用到的工具也比较多,对小白来说也更友好。很多从事安全行业的人基本上都是先学习的web安全。
虽然之前发过很多学习路线相关的文章,但是这里的学习路线是根据我们的重点课程大纲编写的,对于小白来说非常友好,也非常有帮助。
第一阶段:基础操作入门
入门的第一步是学习当下的一些主流的安全工具和配套的原理基础,一般来说这个过程自学一个月左右时间是比较合适的。
第二阶段:学习基础知识
这个阶段的时候对网络安全就有了基本的了解,通过第一步的学习,理论上的知识一定都明白了,比如什么是sql注入、xss攻击等等,对于一些安全工具的基础操作也基本掌握了,比如burp、msf、cs等等。这个时候不能急功近利,一定要沉下心来,开始把地基答牢固!
这个时候需要系统化的学习计算机基础知识!学好网络安全的先决条件就是要具备5个计算机基础知识板块:
- 操作系统
- 协议/网络
- 数据库
- 开发语言
- 常见漏洞原理
可能有人会问学习这些基础知识的作用是什么?
就像修房子一样,想要房子修得更高、修得更牢固,那么房子的地基就一定要打的更深、更坚固。一个坚固的地基才能支撑起高楼!
同样,计算机各领域的基础知识水平也决定了渗透测试水平的上限。
编程水平高,代码审计就强、写出的漏洞利用工具就更好用;
数据库知识水平高,SQL注入攻击的时候写出的注入语句就能绕过更多的WAF;
网络水平高,内网渗透的时候就更清楚目标的网络架构,清楚自己在哪个部位;
操作系统水平高,提权更强,信息收集效率更高
所以,计算机基础知识水平高的人,渗透测试的水平也不会低!
第三阶段:实战操作
1、挖src漏洞
挖src的目的是讲所学的技能落到实处,学习网络安全最大的幻觉就是感觉自己学完之后什么都懂了,但时真的到了挖漏洞的时候却不知道从何下手。SRC正好就是一个锻炼技能非常好的机会。
2、学习技术分享贴(漏洞挖掘类型)
观看学习近十年的所有0day漏洞挖掘帖,然后自己去搭建环境、去复现漏洞、去思考笔者的挖洞思维,从而去培养自己的渗透思维。
3、靶场练习
自己搭建靶场环境或者去免费的靶场网站练习。这里推荐我们的免费靶场
第四阶段:参加CTF比赛或者HW行动
CTF比赛是最接近实战的机会,现在《网络安全法》很严格,不能像之前一样“随心所欲”,而CTF能够把给大家提供最接近实战的机会。比赛的题目也和当下的技术贴切,而书籍上的内容通常都是落后的。
特别建议大学生去打CTF比赛,因为对以后找工作的帮助非常大。这里有一个小建议,如果想要打CTF比赛的话,直接去看赛题,赛题看不懂的时候再去查阅资料。
参加HW可以得到非常好的锻炼,提高自己的技术,特别是国家级的HW。提升技术的同时还可以认识很多圈内人士,扩展自己的人脉。工资也是一笔不菲的收入,参加HW可以赚到不少的钱。并且对以后找工作也很有帮助。
据了解,很多自学网络安全的人到第二阶段就产生了放弃的想法,大部分自制力不够强的人也就止步于第二阶段。不仅浪费了时间、还把自己的兴趣消耗殆尽。
这里总结了在自学途中失败的原因:
1、没有成熟的学习路线。很多专业的人都不能够总结出非常完善的学习路线,零基础的小白对学习路线的选择也是存疑的。
2、没有人指导、错误的学习方法。网络安全是一个攻防实战性很强的专业,学习方法不对,纸上谈兵是学不好网络安全的。
3、自制力差+诱惑太多。没有办法静下心来学习,学习进度一直停滞不前。手机一刷就是半天、朋友一聚集就开始不专心,想要学会很难。
在自学阶段如何战胜失败?
1、找到一条正确、合适的路线。武汉安鸾的课程大纲就可以参考,符合大部分零基础小白的情况。
2、必胜的勇气,历史上行军打仗,士气非常重要,一定要有信心,否则就会陷入自我怀疑当中,最终导致走上放弃的道路。
3、小目标与连续性。学习网络安全非常需要连续性,连着学习很重要,也要给自己设定一个小目标,比如十五天/一个月内学习多少内容,要做出什么样的成绩,这样不断印证加强信心,有成就的反馈,就有了持续学习的动力。或者找一个要求严苛的人监督你学习,经常督促你。还可以尝试打卡的方式学习,找到真正的技术交流群也可以。
4、多联系、多复习。学任何知识都讲究温故而知新,只有以前学的知识掌握了,才能够有基础掌握新的知识。
5、杜绝急于求成的态度,一般自学都需要半年到一年的时间。如果想要快速入行的话,建议选择一个靠谱的培训,三个月就能成功学成就业。自学的同学不要着急,更不要在技术不扎实的情况下去面试,面试失败了很容易产生挫败感。
坚持在自学中非常非常重要,只要坚持,就一定会有守得云开见月明的一天!
网络安全这条路很长,自学阶段的结束只是小阶段的胜利,并不代表真正的结束。因为自学完之后不一定能顺利就业,还有很多问题需要及时解决!
很多自学的同学身上都会存在这些问题,因为这些问题导致放弃网络安全的人也不少,非常之惋惜,都已经把知识都学会了,最终还是放弃了,没人甘心这样!
学习结束之后的问题及解决方法;
1、技能掌握不扎实。想解决这个问题的话就需要多联系多复习,然后在工作中去锻炼自己,尝试做一个完整的项目来提升自己的技能。
2、面试简历的书写。关于这方面的问题一直都有争议,这里给出的建议是,应届生不用包装简历,其他人能不包装简历就不要包装简历。如果包装简历,也一定要有把握!
3、面试会遇到很多问题。在技术扎实的情况下,走到了面试这一步就已经算非常成功的了。面试会遇到的问题一种是围绕技术、一种是围绕项目、一种是围绕个人发展,一般来说大公司围绕底层技术比较多、中小公司多围绕项目。面试遇到问题不可怕,面试多了也就有经验 了,多面试、多去各大平台看面试经验帖。
最后,网络安全这条路是一条探索之路,无论选择什么方式入场,工作中还有很多很多知识和领域是我们在学习中接触不到的,不论是培训还是自学。你所学的知识深度不过是能让你勉强胜任工作,而工作中大片大片的空白,都需要你自己去体验!
这也就是我们常说的,师傅领进门,修行靠个人。
开始学习网络安全开始,就注定是一条生命不息学习不止的路!
你想好了吗?