一年多以来网络安全的学习经验,愿安全人不再踩坑

回想学习一年多以来网络安全的学习经验,愿安全人不再踩坑

建议

  1. 多向学长学姐请教(请教前先了解一下提问的艺术),不要死钻牛角尖,特别是刚入门啥都不了解,可能你研究好几天的东西,就是一句话的事,比如环境搭建就是入门学习难点,而docker就可以解决大部分环境搭建的痛点
  2. 加入一个安全团队,看看那些大牛们在学什么,即使进不了也可以刷一波面试经验
  3. 勤动手,多敲代码,多练习,记笔记,这个是最最重要的,人的记忆力是有限的,很久不看必然要忘,自己写笔记既是为了学的时候加深印象,也是为了快速复习,温故知新。可以自己搭建一个博客,或者是注册CSDN、博客园啥的,把笔记分享上去,这些都是学习的正向反馈,是激励自己学习下去的动力
  4. 学到啥程度算是学会了,你能把别人讲明白就算,给别人讲问题既能自我知识总结归纳,又能加深印象,所谓:知识不再入,再在出
  5. 如果是学习某一种语言,可以在学的差不多的时候,做一点项目,当做出成果你会特别的骄傲,我之前学flask的时候就做了一个网站,能感觉出当时的学习动力是真的足
  6. 培养自己的自学能力,没有大佬是几天就能学会的,大佬们都是学到凌晨,可能这就是大佬发型总是瞩目的原因吧,况且网络安全知识点错综复杂,计算机是日新月异,要是往深了研究足以付出终身
  7. 关注网络安全赛事,如初:Defcon,GeekPwn啥的,培养兴趣,兴趣才是最好的老师嘛
  8. 多关注一些大牛的公众号,b站号啥的,我推荐一些吧
  • 论坛:

    1. 吾爱破解

      https://www.52pojie.cn/,吾爱偏二进制安全方向,也有人分享很多资源

    2. 看学论坛

      https://bbs.pediy.com/,专业二进制安全,加密与解密就是看雪出的

    3. 安全客

      360家的,https://www.anquanke.com/

    4. 先知社区

      阿里家的,https://xz.aliyun.com/

    5. FreeBuf

      https://www.freebuf.com/

    厉害的大佬有好的文章可以发到这些论坛里,既是一个学习的正向反馈,还能赚点小钱钱

  • 公众号:

    1. 渗透云笔记

      不定期发一些资源

    2. 道哥的黑板报

      对就是阿里的道哥,白帽子讲web安全作者,他的公众号在沉寂了好久之后最近也是在更新

    3. 谢公子学安全

      谢公子的公众号

    4. 代码审计

      p神的公众号,java代码审计内容比较多,有小钱钱的同学可以加一下p神的小蜜圈,199永久,这应该是最实在的小蜜圈了,必坑开*勒的小蜜圈,巨贵,分享的竟然是网上公开的,专坑小白

    5. 山警网络空间安全与电子数据取证

      学校社团公众号,内容主要是CTF

    6. 教父爱分享

      不定期发资源,我也近了教父的群了,还是挺值的

    7. 乌云安全

      不定期会发资源,收费的不用买,不用买,不用买

  • b站:

    1. CodeSheep

      程序员UP,非常的接地气,内容:Java和C以及一些经验啥的

    2. 一年多以来网络安全的学习经验,愿安全人不再踩坑

      web安全学习路线可以分为两种:

      1. 先学基础,在转安全
      2. 边学安全,边补基础

      对于安全新人来说还是推荐第二种学习方法,边学漏洞的原理,边补基础,比如说在学xss漏洞,就可以去学一学JavaScript的知识

      可以按照下面这个步骤去进行

      第一阶段

      • web漏洞

        1. SQL注入

          进而学习sql语句,各种不同的数据库

        2. CSRF漏洞

          进而学习cookie和session机制

        3. XSS

          进而学习javas

        4. 命令执行

          进而学习linux,bash、cmd命令

        5. 文件上传,文件包含

          了解不同的建站语言后缀,后台逻辑

        6. SSRF

        7. 逻辑漏洞

        8. 等其他web漏洞

      • 编程语言

        Python、php可以一块学,前期不用太深入,和web漏洞原理一块学

      • 了解web技术栈

        1. 计算机网络(http、一年多以来网络安全的学习经验,愿安全人不再踩坑

          CTF是入门网络安全的比较快的方式吧,一般很多学校的网络安全社团也是围绕着CTF比赛来开展活动的

          CTF也是有两种玩法的:一种是解题赛,就是出题人出固定考点的题,解就完了,拿到flag就可以,另一种是AWD(Attack&Defence)攻防模式,模拟真实网站,攻防双方各有存在漏洞的网站,多人组队,攻防分明,比较有意思,谁拿的flag多就是胜利

          CTF解题赛方向:

          1. Web

            web安全相关,近来卷的不行,已经开始考最新漏洞复现了,web狗没有生存空间

          2. Misc

            各种隐写,图片,音频,视频,压缩包,变着花的来

          3. Pwn

            pwn都是爷爷辈的足以看出在ctf中的地位

          4. Mobile

            移动安全相关

          5. BlockChain

          6. Realworld

            见名知意,这种一般是一个贴近真实的环境去渗透

          CTF赛事:

          • 国外:

            1. Defcon

              CTF赛事中的“世界杯”

            2. UCSB iCTF

              来自UCSB的面向世界高校的CTF

            国外的大型赛事可能距离小白比较远也不多举了

          • 国内

            1. 网鼎杯
            2. 强网杯
            3. 蓝帽杯
            4. 红帽杯
            5. iscc
            6. 国赛
            7. 各省省赛
            8. 看学ctf
            9. 安恒月赛
            10. 多如牛毛,以阅好几场。。。。。

          CTF主要还是各种脑洞,各种bypass,各种trick,主要是多做题多练习

          训练场大全:

          1. BUUCTF在线评测:
            https://buuoj.cn
          2. Vulhub漏洞环境集合:
            https://vulhub.org
          3. 韩国Webhacking:
            https://webhacking.kr
          4. 重生一年多以来网络安全的学习经验,愿安全人不再踩坑

            最后推荐两本书,这两本书都是很牛的ctf战队出的

            1. Nu1l战队的:0到1:CTFer成长之路
            2. FlappyPig战队:CTF特训营

            对于没有计算机基础或者是跨专业的同学来说学习网络安全可能有点压力,但计算机是众所周知的大杂烩专业,有很多大牛都是跨专业,比如妇科圣手们,只要坚持学习一定可以成为大佬

            这些分享给你们,同时也是说给自己,最后,没有伞的孩子要学会奔跑,冲出舒适区,加油冲冲冲,肝就完了!!!

版权声明:玥玥 发表于 2021-05-26 18:53:34。
转载请注明:一年多以来网络安全的学习经验,愿安全人不再踩坑 | 女黑客导航