零基础学网络安全要学些什么?
一.网络安全学些什么呢?
虽然网上已经有非常多的学习路线了,但是仍然有很多零基础的小白还是不懂网络安全到底应该要怎么去学习,我也经常会在后台收到这样的问题“我想学网络安全,需要先学编程语言吗?”、“学渗透就业会不会很难?”等等类似的问题
比起纠结要不要先学编程语言等等这些问题,首先最重要的就是要选择好适合自己的具体岗位的专业方向,因为网络安全行业里面有许多的安全岗位,具体的工作内容也是不一样的,需要掌握的技能也不一样。只有尽早的确定好以后具体从事的安全岗位,这样才能避免盲目的学习
今天我就来跟大家聊聊网络安全就业方向有哪些?网络安全小白该如何选择未来方向,学什么,怎么学,学到什么程度,才能拿高薪进大厂?
文章主要分为两部分:
- 1)网络安全怎么选,选什么,怎么学,学什么?
- 2)优质资源分享
第一部分:网络安全怎么选,选什么,怎么学,学什么?
1.1 前面也说到了,学习网络安全咱们首先要先选择自己的就业方向,根据具体岗位的具体要求去学习。那么在选择就业方向之前,我们首先必须要先了解市面上有哪些安全岗位?
-
研发系:安全研发、安全攻防研究、逆向分析、云计算研究、机器安全
-
工程系:安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、Web 渗透测试工程师、Web 安全工程师、应用安全审计、移动安全工程师
-
销售系:安全销售工程师、安全售前工程师、技术解决方案工程师
总结:网络安全中的岗位众多,建议零基础小白可以从安全服务、安全运维、渗透测试、Web 安全等岗位进行安全行业。此类岗位入门门槛较低,且市面需求大!
1.2 了解了市面上的安全岗位以后,那么要如何找到适合自己的就业方向呢?
首先,建议平时多去各大招聘站上逛逛,比如 boss 直聘,猎聘,各大公司官网招聘启事,各种技术论坛招聘版块等比如:
-
互联网公司:阿里、腾讯、百度、字节跳动等等
-
安全公司:绿盟、360、启明星辰、奇安信、天融信、知道创宇等等
-
逛一些网站
逛这些网站干什么:收集信息,做调研
-
看需求。 看看那些互联网大厂或者自己想去的公司,都在招哪些技术方向?
-
看发展。 哪些技术方向需求量大,或者给的工资高,那这个方向目前肯定火热?
-
看自己。 这些技术方向有没有你感兴趣的,或者愿意为之“奋斗终身”的?
-
看要求。 这些技术招聘的技术能力都有哪些要求?(要具体详细)
-
定计划。 搜集和整理好招聘要求后,然后明确具体要掌握哪些东西,具体要到什么程度?
举个例子:比如我想去深信服上班,然后去搜集深信服的技术招聘,发现渗透测试工程师这个岗位还不错,月薪 18K 起步
渗透测试工程师:
那么我就开始在网上搜索“什么是渗透测试工程师”,“渗透测试工程师前景如何(发展路线)”,“渗透测试技能树”,“零基础小白如何开始学渗透测试”等等。
然后就开始搜集和整理相关资料。下面以渗透测试工程师为例:
1.3 渗透测试工程师是什么?
其实渗透测试工程师也就是我们常说的“白帽子黑客”,在有授权的情况下通过各种手段对目标进行渗透,通过渗透来测试目标的安全防护能力和安全防护意识
渗透测试流程:
-
信息收集
-
漏洞扫描
-
漏洞利用
-
内网转发
-
内网渗透
-
痕迹清楚
-
撰写报告
1.4 渗透测试工程师的前景如何?
这是北京地区的渗透测试工程师的平均工资,其中 10-30K 的人占了 74.1%,而 30K 以上的人也有 21.3%。薪资相比同地区高出 28.4%,说明岗位需求非常大!
据最新 2021 网络安全人才报告统计,网络安全人才的缺口累计在 140 万以上,而全国高校园网络安全相关专业年平均招生 2 万人余人
所以主要依靠高校培养网络安全人才的方式是远不能满足网络安全的需要。而且高校人才的培养是难以满足网络安全实战需求。 主要有两个方面。
一方面:由于我国网络安全教育起步较晚,各高校网络安全实践型人才储备不足,缺乏精通尖端网络安全技术的专业教师队伍,师资力量有待加强。
另一方面,高校普遍缺乏网络安全实践场景,导致学生普遍理论知识多,实战能力弱,毕业后很难满足用人单位的要求
总结:我认为随着我国数字化的普及,无论是国家还是企业都对网络安全越来越重视,那这个行业就永远都不会被淘汰,而且这几年国家出台了一系列的网络安全政策,都说明了这个行业目前正处于红利期!
1.5 渗透测试工程师都要学什么?
以下是 secwiki 的技能树:
1.熟悉主流的 Web 安全技术,包括 SQL 注入、XSS、CSRF、一句话木马等安全风险;
2.熟悉国内外主流安全产品和工具,主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具 ssrs、hydra、medusa、airspoof 等,以上工具的练习完全可以利用上面的开源靶场去练习.
3.熟悉 windows、linux 平台渗透测试、后门分析、加固;
4.至少掌握一门编程语言 C/C++/Perl/Python/PHP/Go/Java 等;
5.熟悉渗透测试的步骤、方法、流程,具有 Web 安全实战经验;
6.熟悉常见安全攻防技术,对网络安全、系统安全、应用安全有深入的理解和自己的认识;
7.对 Web 安全整体有深刻理解,具备代码审计和独立漏洞挖掘能力;
8.具有较强的团队意识,高度的责任感,文档、方案能力优秀者优先。
二、网络安全学习的误区
1.不要试图以编程为基础去学习网络安全
不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,且过渡到网络安全用到编程的用到的编程的关键点不多。一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少。学习编程能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识
2.不要刚开始就深度学习网络安全
学习讲究这方法,需要一步一步的来,由浅至深,慢慢的加大难度,很多人刚开始就猛学,很容易到后面的时候乏力,越学可能就越学得枯燥,到最后就很容易放弃了。
3.收集适当的学习资料
网上有很多网络安全的学习资料。而很多朋友都有“收集癖”,一下子很多书籍,收藏几十个视频,觉得学习资料越多越好,然而网上的学习资料重复性极高。建议选择大众受用的学习资料。
网络安全相关学习资料
4.适当的报班学习
很多人觉得报班就是浪费钱财,觉得自己自学就很好了,但其实自学也是需要一定的天赋和理解能力,且自学的周期较长,一些急躁的学习者或者急于找到工作的学习者,还是报班学的比较轻松,学习周期不长,学到的东西也不会少,建议学习者根据自己的自身条件选择是否报班。
二、学习网络安全的些许准备
1.硬件选择
学习网络安全不需要配置很高的电脑,黑客用的电脑,从来不是根据高配置选择电脑,只要稳定就行。因为黑客所使用的一些程序,低端 CPU 也可以很好的运行,而且不占什么内存。黑客是在 DOS 命令下对进行的,电脑能使用到最佳状态就可以了。
2.软件选择
很多人会纠结学习黑客到底是用 Linux 还是 Windows 或者是 Mac 系统,Linux 系统对于新人入门并不友好。Windows 系统一样可以用虚拟机装靶机进行学习,当然是根据学习者自己的感觉来选择系统。
至于编程语言,Python、PHP、 C++、Java 都是可以的,学习编程只是工具不是目的,我们的目标不是成为程序员,而是成为网络安全员,编程只是为了看懂程序。
3.外语能力
计算机最早诞生于宾西法利亚大学,很多名词或者代码都是英文,一个漏洞翻译成中文需要一个星期的时间,在这个时间上漏洞可能都修补了。如果不理解一些专业名词,在与其他黑客交流时也会有障碍,所以需要一定量的英文量和了解一些专业名词。
三、网络安全学习路线
第一阶段:基础操作入门
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在 1 个月左右比较合适。
在学习基础入门课程的同时,同时阅读相关的书籍补充理论知识,这里比较推荐以下几本书:
《白帽子讲Web安全》
《Web安全深度剖析》
《Web安全攻防 渗透测试实战指南》
第二阶段:学习基础知识
在这个阶段,你已经对网络安全有了基本的了解。如果你认真学习完第一步,什么是 sql 注入,什么是 xss 攻击这些已经都明白了,对 burp、cs 等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!所谓的“打地基”其实就是系统化的学习计算机基础知识
第三阶段:实战操作
1.挖 SRC
挖 SRC 的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,更多的还是要进行实操,把理论知识运用到实践中,确保更好的掌握知识点。
2.从技术分享帖学习
观看学习近十年所有挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
到这一步,再加上之后对挖掘漏洞的技术多加练习与积累实战经验,基本就可以达到安全工程师的级别
最后,感谢每一个认真阅读我文章的人,礼尚往来总是要有的,上述资料虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:
