【网络安全】零基础入门网络安全劝退指北

作为从16年接触网络安全的小白，谈谈零基础如何入门网络安全，有不对的地方，请多多指教。

这些年最后悔的事情莫过于没有把自己学习的东西积累下来形成一个知识体系。

后续我也会陆续的整理网络安全的相关学习资料及文章，与大家一起探讨学习。

如何入门

1. 简单了解网络安全
   网络安全就是指的确保网络系统中的数据不被别人破坏，而网安工程师就是涉及程序来维护网络安全。
   网安方向有很多职位，比如安全产品工程师，安全分析师，数据恢复工程师，网络架构工程师，安全编程工程师，以及网络集成工程师等。

工作内容主要包括： 安全评测，风险评估，安全服务，防火墙，入侵检测，渗透测试，云防护，系统防护，代码审计等

2. 入门路线

• 了解电脑知识
  这个够基础了吧，包括windwos基础，Linux基础，标记语言，代码js基础，网络基础，数据库及虚拟机使用等
  可以简单的学会抓包，知道抓到的包在说什么。

• 入手web安全
  web架构，web优化及安全防护，学点Python能看懂代码，网站开发也可以学习一些，这里的都是一些基础，不用太深入。

其次想要进入web安全领域，还要学会web渗透，OWASP top 10 等常见的web漏洞原理及利用方式，包括SQL注入，XSS攻击，webshell木马编写，提权，命令执行等。
熟悉基本的概念： SQL 注入，上传，XSS，CSRF，一句话木马等
推荐书籍《 精通脚本黑客》，很老的书了，而且也有一些错误，但是对于入门来说足够。

到这里你就算基本上入门了。

后续学习

攻防演练，等保测评，风险评估，这些都是在你入门后学习的。

熟悉渗透相关的工具：
AWVS ，sqlmap.Burp,nessus,chopper,namp,Appscan 等工具

具体教材可以在SecWiki上搜索。

广义上说，你作为一个网络安全师需要学习的内容如下：

• 通信协议：TCP、HTTP、HTTPs
• 操作系统：Linux、Windows
• 服务架设：Apache、Nginx、LAMP、LNMP、MVC
• 架构数据库：MySQL、SQL Server、Oracle
• 编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

但我们通常学习20%的核心内容来完成80%的工作，所以压缩一下：

• 安全理论：OWASP TOP 10 、PETS、ISO 27001
• 后端安全：SQL注入、文件上传、Webshell（木马）、文件包含、命令执
• 前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造…
• 安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火墙）、IDS/IPS（Web入侵防御）、Web主机防护

可以看一个招聘需求：

推荐：CTF
CTF有两点：

• 接近实战的机会。现在网络安全法很严格，不像之前大家能瞎搞
• 题目紧跟技术前沿，而书籍很多落后了。
  如果你想打CTF比赛，直接去看赛题，赛题看不懂，根据不懂的地方接着去看资料。

书单推荐：

计算机操作系统：

• 编码：隐藏在计算机软硬件背后的语言
• 深入理解操作系统
• 深入理解windows操作系统
• Linux内核与实现

编程开发类：

• windows程序设计
• windwos核心变成
• Linux程序设计
• unix环境高级变成
• IOS变成
• 第一行代码Android
• C程序语言设计
• C primer plus
• C和指针
• C专家编程
• C陷阱与缺陷
• 汇编语言（王爽）
• java核心技术
• java编程思想
• Python核心编程
• Linuxshell脚本攻略
• 算法导论
• 编译原理
• 编译与反编译技术实战
• 代码整洁之道
• 代码大全
• TCP/IP详解
• Rootkit ： 系统灰色地带的潜伏者
• 黑客攻防技术宝典
• 加密与解密
• C++ 反汇编与逆向分析技术揭秘
• web安全测试
• 白帽子讲web安全
• 精通脚本黑客
• web 前端黑客技术揭秘
• 程序员的应用
• 英语写作手册：风格的要素

常见的网络安全及论坛

• 看雪论坛
• 安全课
• 安全牛
• 安全内参
• 绿盟
• 先知社区
• XCTF联盟

总结

网络安全任重而道远，我自己自学安全已经四年有余，依然感觉不算入门，技术这东西，真的是越学越觉得自己不知道的越多。

文章来源: zmedu.blog.csdn.net，作者：互联网老辛，版权归原作者所有，如需转载，请联系作者。

原文链接：zmedu.blog.csdn.net/article/details/115790126