学信息安全需要哪些基础

Posted 2023-05-08

　一：学网络安全需要的知识：
　　1、必须精通TCP/IP协议族。
　　2、学习和了解各种OS 平台，如：linux,UNIX,BSD 等。
　　3、随时关注网络安全最新安全动态。
　　4、熟悉有关网络安全的硬软件配置方法。尤其交换机和路由的配置。
　　5、多泡网络安全论坛。
　　6、终身学习。
　　二：网络安全必修课程：（后面的教材仅为参考）
　　1、专业基础：
　　1）C/C++：【C++Primer中文版 还有题解c++ primer 需要一定的C++基础，如果要比较基本的话，钱能的那本不错，清华大学出版社的。 <<c programming languge>> 全球最经典的C语言教程 中文名字<<c程序设计语言>>】
　　2）汇编语言 asm
　　3）操作系统【linux,UNIX,BSD】UBUNTU是linux操作系统 鸟哥的linux私房菜】
　　4）计算机网络
　　2、系统编程：（Windows核心及网络编程）
　　2.1、精通VC/C++编程，熟悉windows网络SOCKET编程开发
　　1）《Windows网络编程（第二版）》（附光盘），（美）Anthony Jones, Jim Ohlund著；杨合庆译；清华大学出版社，2002.1
　　2）《Windows 核心编程（第四版）》（附光盘），（美）Jetfrey Richter著，王建华 等译；机械工业出版社，2006.9
　　2.2、逆向工程：
　　1）《加密与解密（第二版）》（附光盘），段钢 著，电子工业出版社；2004.5
　　3、网络协议：
　　1）《计算机网络实验教程》（《COMPUTER NETWORKS: INTERNET PROTOCOLS IN ACTION》），（美）JEANNA MATTHEWS著，李毅超 曹跃 王钰 等译，人民邮电出版社，2006.1
　　2）《TCP/IP协议详解卷一：协议》、《TCP/IP详解卷2：实现》、《TCP/IP详解卷3：TCP 事务协议、HTTP、NNTP和UNIX域协议》，美 W.Richard Stevens 著，机械工业出版社，2004.9或《用TCP/IP进行网际互联第一卷：原理、协议与结构》、《用TCP/IP进行网际互联第二卷：设计、实现与内核》、《用TCP/IP 进行网际互联第三卷:客户-服务器编程与应用》（第四版）、（美）Douglas E.Comer林瑶 等，电子工业出版社，2001 年5月
　　4、网络安全专业知识结构：
　　1）《信息安全原理与应用（第三版）》（《Security in Computing》），（美）CharlesP Pfleeger，Shari Lawrence Pfleeger著；李毅超，蔡洪斌，谭浩 等译； 电子工业出版社，2004.7
　　2）《黑客大曝光－－网络安全机密与解决方案》（第五版），（美）Stuart McClure，Joel Scambray， George Kurtz；王吉军 等译，清华大学出版社，2006年4月
　　三：英语学好，也是有用的，尤其是考一些比较有用的证。 参考技术A 需要看你个人对网络以及各个系统的了解程度，你想要朝网络安全方面发展的话，建议多去查看关于安全方面的学习资料，最主要的是实践，我举个例子，假如现在无法上网，你需要怎么样的思路去思考这个问题呢，是被病毒感染，是DDOS攻击，还是一般的网络故障呢，所以说要学好安全就把各个系统都学好，不要求精通，至少出现问题的时候，可以自己解决，常见的系统有Windows 系列 、linux 、mac os 、solaris要做网络安全，路由器、防火墙、交换机的学习是必不可少的，因为路由也可以帮你实现安全访问，例如ACL访问控制列表，防火墙可以过滤端口，还可以防止一些DDOS攻击，等。。。多看一些关于黑客攻防方面的知识，因为你了解怎么攻击，就知道怎么防，对症下药。。。呵呵看个人的精力，如果能花时间去学精一到两门编程语言最好，例如C语言或者JAVA这两种语言的优点在于跨平台性好，在windows 下面可以运行的程序也可以移植到linux 或者solaris上去，如果以上的内容你在3-5年的时间内学好的话，安全方面基本上因该都精通了。 参考技术B 数学 密码学
计算机网络 汇编 数据结构 Linux 参考技术C 大家对于信息安全或网络安全比较熟悉的词应该就是“黑客”了吧，事实上从事网络安全的人在技能上确实让你说一句“我擦，这也可以”。信息安全领域的内容比较杂，很多大学是信息安全专业的同学发现毕业时好像什么也没学到，又有一些非信息安全专业却此次很有兴趣想要自学的，该如何走好第一步，或者要经过几步才能真正入坑？

学习·理论

首先肯定要学一些技术方法论了，这个阶段就是入门，C、C++、汇编都是基础中的基础，还有例如软件逆向以及软件调试等初级知识需要掌握，有了这些打底之后，才能深入操作系统内核去了解些操作系统的真正原理。
Web安全的技能点同样多的数不过来，因为要搞Web方向的安全，意味初学者要对Web开发技术有所了解，例如能通过前后端技术做一个Web网站出来，好比要搞[网络安全]，首先要懂如何搭建一个网络出来。那么，Web技术就涉及到以下内容：
通信协议：TCP、HTTP、HTTPs
操作系统：Linux、Windows
服务架设：Apache、Nginx、LAMP、LNMP、MVC架构
数据库：MySQL、SQL Server、Oracle
编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）
如果按照上面的技能全部学完，不仅时间周期非常长，估计大部分人连学后面安全的兴趣都没有了。所以，这就说到Web安全这个行业另外一个常态了：大部分做Web安全的，并不是刚开始就对Web开发技术非常熟悉的，很多都是半路杀出来了，甚至连Web网站都没有架设过的，这种大有人在。因此有更加狭义的Web安全技术点：
安全理论：OWASP TOP 10 、PETS、ISO 27001…
后端安全：SQL注入、文件上传、Webshell（木马）、文件包含、命令执行…
前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造…
安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火墙）、IDS/IPS（Web入侵防御）、Web主机防护
因此，Web开发技术和Web安全技术其实是相辅相成的，如果对Web开发比较熟悉，意味着研究Web安全时能够更加底层，而不止于安全工具和脚本层面。
>>>.学习 Web 安全方向需要有一定的编程基础<<<<

推荐书单：

《白帽子讲Web安全》
《Hacking the Hacker》
《黑客大曝光》

分享一点知识图谱：
因为图片限制发布出去 想要的可以私我VX : edu-aqn526

比如一些前辈的分享：
https://zhuanlan.zhihu.com/p/35753603
https://zhuanlan.zhihu.com/p/24698829
https://www.zhihu.com/question/23190460/answer/555364236

网盘资料：
【汇总篇】工具及教程分享链接:
链接:https://pan.baidu.com/s/1uzVqksn44fP2iba5qrJLVA 密码:u8p4
【其他 1】linux下无限制版nessus，重新更新链接: https://pan.baidu.com/s/1byuxNOacLhIgwijAqW6NWg提取码: 2333
最新更新包，部署和密码看图链接:
https://pan.baidu.com/s/1OHQJcy1I6fVJGXh-BAG_eA提取码: 23g8
【其他2】Linux版awvs最新版v_190325161破解
链接: https://pan.baidu.com/s/1L_X8DdtSGGmtddaaK7MT1Q提取码: v463
【其他3】Burpsuite和Metasploit基础教程
链接: https://pan.baidu.com/s/13jHPIXPWFl5tZShtQjiEwQ提取码: 4a65
链接:https://pan.baidu.com/s/1pVp8aG0m_qFSuPs1MZvhyA提取码:risd
链接:https://pan.baidu.com/s/1f5jIASYksUSR76CcT-I0xQ 密码:jdux
以上是告诉你怎么学，接下来说学会了怎么去动手啊？“没病你就出来走两步”，实践是检验真理的唯一办法——挖洞，有很多漏洞安全提交平台可以让你去挖洞，又或者参加一些CTF比赛，如何参加，可以看我之前的一篇内容：https://www.zhihu.com/question/321053471/answer/745274731

实践 · 挖洞

去SRC厂商挖洞，比如这些，我这里就不一一赘述了：

因为图片限制发布出去 想要的可以私我VX : edu-aqn526

挖洞流程：
利用搜集好的域名
Github搜索“src 域名”
https://github.com/search?q=src+域名

SRC基础信息收集

微信公众号、xxsrc微信群。主要关注双倍积分活动、奖励大小、技术交流群里的信息。
通过公开信息掌握基础漏洞
在公开了漏洞标题的平台找最近活跃的漏洞类型是什么，然后找相关的实例学习。
通过公开信息掌握赏金较高的业务系统
通过某些公开了的漏洞标题找到业务系统，然后找同类型业务系统测试
https://sec.ly.com/bugs
https://hackerone.com/hacktivity?sort_type=latest_disclosable_activity_at&filter=type%3Aall&page=1&range=forever
https://dvpnet.io/lddt

大量的漏洞提交

不同的应急响应中心对业务漏洞的关注度不同，多提交才能知道哪些漏洞是能够高危的
1.不通过是因为写的不够详细，审核复现太麻烦，没有url，
2.教育和政府类发现xss不收，高危漏洞类型收的快
3.getshell评分高

漏洞新玩法

1.代码审计白盒挖掘传统漏洞
2.传统漏洞比较少（更多是业务逻辑，越权，资源耗尽导致的拒绝服务，多个漏洞的组合拳（xss+csrf)）
3.需要更深层的资产搜集（比如阿里18周年，app搜集）
4.跟踪最新业务（京东618之前，上线了京东保租业务，近期上线了京东房产）
5.大数据分析（采集白帽子们提交的漏洞标题，分析挖洞行为）
6.业务和漏洞威胁情报
7.app漏洞挖掘
8.c/s架构漏洞挖掘/lot设备漏洞挖掘
9.hacker0ne公开的漏洞姿势学习和twitter上的分享

漏洞扫描器收集

Scanners Box是一个集合github平台上的安全行业从业者自研开源扫描器的仓库
https://github.com/We5ter/Scanners-Box
原博客地址：https://www.cnblogs.com/17bdw/p/11816373.html
一旦你入门信息安全了，请严格遵守法律，树立正确价值观，以上的分享大部分来自网络整理。

（2022版）零基础入门网络安全/Web安全，收藏这一篇就够了

废话不多说，我们一起看看网络安全有哪些方向，它们之间有什么关系和区别，各自需要学习哪些东西

废话不多说，我们一起看看网络安全有哪些方向，它们之间有什么关系和区别，各自需要学习哪些东西