关于网络安全学习的一些问题(持续更新)

这个问题,很多人问过我,今天有位学长也来问我这个问题,所以我觉得我有必要写一篇博客来讲讲这个。
这个东西其实还不太好讲,主要是因为东西太多了,不知道从哪里下手,我这里就讲一下问过我的一些问题。
如果你也有问题可以在下方留言。或者加我微信告诉我。
1. 网络安全需要学什么?
我所知道的有这些
- WEB安全
- 内网安全
- 无线安全
- 物联网安全
- 社会工程学
- 云安全
- 系统安全
- 主机安全
- 二进制安全
- 蓝牙安全
- 移动安全
- 终端安全
- 工业互联网安全
- 智能安全
- 业务安全
- 域名安全
- 邮件安全
- …………
当然,不用都学哈。不过你学深了之后,你就会发现,也差不多都学了
2. 网络安全的基础是啥?
网络安全的基础多了去了,我们长话短说,说一下我知道的
代码编程,主要是主流的网站语言和脚本语言,Python、Go、C++、Rudy、PHP、Java,汇编……。这些,你必须都有接触,最起码能看懂,然后精通个一两个,全部精通最好,不过不太现实。比如我就喜欢用Python平时谢谢攻击脚本。代码编程基础用于网安的各种地方。对了,汇编好好学。
网络工程。这玩意其实是一个专业,而且就是我的专业……网络安全,网络安全,最后还是网络,所以网络基础必须要好,我都不说啥TCP/IP这种基础的不能在基础的东西了,你最起码能达到自己能组网的水平,按照华为的网络工程师等级来算的话,达到HCIP,中级网工就可以,最好能达到HCIE的水平,
网络协议。和网工一样,这也是网络基础,这个其实在很多地方是在网络工程里面的,我这里单独给拿出来了,因为它东西太多了,就TCP/IP这个基础协议,你想完全搞明白,没个一年都不行。我都不说别的,TCP的快重传、快恢复、慢开始、拥塞避免、2MSL这些,有些人学完之后都没听说过。除了TCP/IP以外,还有HTTP、SSL、HTTPS、POP3、DNS、RDP、蓝牙协议等等,还有一堆私有协议……麻了
算法。这个……很多人除了CTF就没接触过了。其实在很多地方都有这东西,比如说MD5校验,CRC校验,PNG数据流的算法,票据、WEP、WPA3等等。这个玩意,只能说遇到了能学或者有人带你学,因为算法这玩意有可能你自学了好几年结果算法被淘汰了或者学的用不上。正常的话,在无线那里是能一次性接触一堆算法……
操作系统。这个不用说了吧,你想要入侵系统你必须了解系统。
其实还有好多,大家有想到的可以在留言补充。
3. 网络安全容易学嘛?
对于这个问题,我只能说,网安好入门,你看到上面的两个问题,你还觉得网安容易吗?
4. 网络安全可以自学吗?
可以自学,其实报班讲的东西网上都有,只不过你们没有意识去找而已,都不知道找啥。
这个主要就是因为你们不会收集、整理信息……
这个我不能多说,不然就成引战了。可能会出一篇关于资源收集的博客吧……有兴趣的也可以加我微信
5. 合规测试、安全功能测试、渗透测试、模糊测试、漏洞扫描都是啥?
(1) 合规测试
网络安全中的合规测试是一种评估组织或企业的信息技术系统、网络基础设施和数据处理流程是否符合相关法律法规、行业标准、政府政策以及内部规章制度的测试过程。这类测试旨在确保组织在其业务运作中遵守适用的法律和法规,并采取必要的安全措施来保护其系统免受潜在的威胁和风险。
举个例子,当地法规规定,你的软件不允许盗取用户数据,比如不允许获取用户的手机信息,那么你这个软件就不能获取手机信息。
不过这里挺有意思,爬虫,比如现在有些程序可以免费听各大平台的歌,这就是爬虫,那么它犯不犯法,嘿嘿。
合规测试主要关注以下几个方面:
法律法规合规性:检查组织是否符合国家和地区相关的法律法规,如数据保护法、隐私法和网络安全法等。
行业标准合规性:验证组织是否符合特定行业领域所规定的安全标准,这些标准可能由行业协会或组织发布。
政府政策和指导方针合规性:确保组织遵守政府部门发布的网络安全政策和指导方针。
内部规章制度合规性:评估组织内部制定的安全政策、规程和流程是否得到遵守和执行。
合规测试通常由网络安全专业人员或第三方安全顾问执行。他们会对系统和网络进行审查、测试、验证和模拟攻击,以确认组织是否满足相关合规要求。测试结果将提供一份详细的报告,其中列出了可能存在的合规问题和建议改进措施。
对于许多企业和组织来说,合规测试是一项必要的过程,因为遵守法律法规和安全标准不仅有助于保护客户和用户的数据,还能降低面临的法律诉讼和罚款风险,并增强对外宣传的信誉。
(2) 安全功能测试
网络安全中的安全功能测试是评估计算机系统、网络或应用程序是否具有其设计和实施中所声称的安全功能和功能的过程。该测试旨在发现系统中的安全漏洞、弱点或不一致,以及确保安全措施有效地防御各种威胁。
比如,你说你的软件可以防御蠕虫病毒,结果被蠕虫病毒给干翻了……这就是安全功能测试没做好
安全功能测试通常涵盖以下方面:
认证和授权测试:测试系统的身份验证(认证)和访问控制(授权)机制,以确保只有授权用户可以访问特定资源。
加密测试:检查系统中使用的加密算法和加密机制是否安全,并验证其是否正确实施。
输入验证测试:测试系统是否能够正确验证和处理输入数据,以防止恶意输入(例如 SQL 注入、跨站点脚本攻击等)。
会话管理测试:检查系统中的会话管理机制,确保会话令牌、Cookie 等安全地管理,并且用户在不同步骤之间的状态得到正确维护。
安全配置管理测试:评估系统的默认配置和安全配置选项,以确保其配置合理且符合安全标准。
错误处理和异常处理测试:检查系统是否能够正确处理错误和异常情况,以防止敏感信息泄漏或系统崩溃。
安全日志和监控测试:测试系统是否记录安全事件和异常,并验证监控机制是否有效。
数据保护和隐私测试:验证系统中的敏感数据是否得到适当保护,并评估隐私保护措施的有效性。
物理安全测试:评估系统硬件和基础设施的物理安全性,包括服务器房间、访问控制等。
业务逻辑测试:评估系统中的业务逻辑是否存在漏洞,例如授权绕过或业务流程错误。
安全功能测试是网络安全体系中的一个重要环节,它有助于发现潜在的漏洞和风险,以便在系统上线之前或更新后及时修复问题,确保系统的安全性和稳健性。
(3) 渗透测试
渗透测试就是模拟攻击者来攻击软件,看看还有没有漏洞。
可能会和安全功能测试搞混哈
安全功能测试是一种被动的、非侵入性的安全测试方法。它着重于验证系统中的安全功能是否按照设计规范正常运行。安全功能是指那些旨在保护系统免受攻击、保障数据机密性和完整性的安全措施和功能。
渗透测试是一种主动的、攻击性的安全测试方法。它旨在模拟真实的黑客攻击,以发现网络系统、应用程序或基础设施中的安全漏洞。渗透测试的目标是验证系统的安全性,并评估其对潜在攻击的防御能力。测试人员(也称为渗透测试员)会尝试利用已知的漏洞、弱点或安全漏洞来获取未经授权的访问权限,从而证明系统中存在的脆弱性。
(4) 模糊测试
网络安全中的模糊测试(Fuzz Testing)是一种广泛应用于软件和系统的安全测试方法。其基本原理是通过自动化地向目标系统或应用程序输入大量随机、无效或边缘情况的数据,以寻找潜在的漏洞、错误或安全弱点。模糊测试是一种黑盒测试方法,因为它不需要了解系统内部的工作原理,而是专注于检查系统的反应和处理能力。
举个例子,我的程序有一个功能是输入,我让系统自动的向这个输入框里随便输入东西,看看有没有错误或者BUG,输入东西多了会不会崩溃。
模糊测试的步骤通常包括以下几个阶段:
选择目标: 确定需要进行模糊测试的目标系统或应用程序。这可以是操作系统、网络协议、库、应用程序等。
生成测试用例: 创建大量随机或半随机的输入数据,这些数据将作为测试用例发送给目标系统。测试用例可能包含无效的数据、特殊字符、边界值等。
执行模糊测试: 自动化地将生成的测试用例输入目标系统,并监视系统的响应。这包括观察是否发生崩溃、拒绝服务(DoS)等异常情况。
记录结果: 记录测试期间发现的漏洞、崩溃、错误等情况。对于发现的漏洞,需要详细记录测试用例,以便开发人员能够重现并修复问题。
分析和修复: 分析模糊测试的结果,定位潜在漏洞的原因,并尽快修复它们。修复后的系统需要再次进行模糊测试,确保问题已被解决。
模糊测试是一种高效的安全测试方法,可以帮助发现许多潜在的漏洞和安全风险,尤其是那些由于不正确处理输入数据而导致的问题。模糊测试在安全研究人员、安全团队和开发人员中得到广泛应用,被认为是发现零日漏洞的一种重要方法之一。同时,它也有助于提高软件的鲁棒性和稳定性。
(5) 漏洞扫描
漏洞扫描我觉得应该是渗透测试里的一个步骤,因为是在黑盒环境,所以需要进行漏扫来查看有没有漏洞。有漏洞的话就利用漏洞进行攻击。
6. 网络安全需要学哪些知识?
这个主要看你想学啥,如果你报班的话那就不用担心,跟老师走就行了;如果你自学的话,你就跟我博客走就可以了。基本入门绝对没问题,等你跟我全部学完,你也能知道自己后面应该怎么学了。
为什么跟我博客走?我敢说,我是全网唯一一个,从零基础基础开始;博客详细,基本我遇到的问题,各种情况我都会写在博客里;路线清晰;最主要的是免费的网络安全博客。其他人要么小白看不懂,要么写的乱七八糟不详细,要么收费。
7. 网络安全就业岗位有哪些?
这个……自己去Boss直聘,58同城等地方搜
范围太广,而且名字烂七八糟的,我也没法说
主要的有
- 渗透测试工程师
- 网络安全工程师
- 逆向工程师
- 漏洞/病毒分析师
- 安全工程师
- 安全研究员
- 安全服务工程师
具体啥区别,直接看工作要求,比如“渗透测试工程师”和“网络安全工程师”的工作要求都差不多,不过“网络安全工程师”的要求能多一点。这就是他们的区别。基本上学网安的……大多数学的东西都是一样的,除了那种名字上就能看出来师干啥的,比如漏洞分析师,就是搞漏洞的;无线安全,搞wifi的;其他那种名字笼统的,其实都差不多,主要看工作要求。
8. 网络安全最火的方向是什么?
这个问题……没啥火不火的,都差不多。你要非得说火的话,哪个难哪个火,逆向工程,漏洞病毒分析这些。
9. 网络安全研究方向是什么?
能问这问题的应该是研究生,研究啥具体看你导师。
我知道的研究方向有
- 漏洞研究与安全评估
- 密码学和加密技术
- 恶意软件分析与反恶意软件
- 网络协议与安全通信
- 身份认证与访问控制
- 移动和物联网安全
- 人工智能与网络安全
- 网络安全政策与法律
- 社会工程学与安全意识培训
- 大数据安全
10. 网络安全的专业杂志有什么
(1) 《phrack》黑客杂志
《phrack》创刊于80年代,是世界级的顶级黑客杂志,每年只有一期,纯TXT风格的。
需要科学上网
(2) 《(IN)SECURE Magazine》
国外著名的一本信息安全杂志,由net-security组织出版的,提供PDF下载,现在还在更新。
需要科学上网
(3) 《Virus Bulletin 》病毒杂志
《Virus Bulletin 》是一本在线杂志,建立于1989年,主要关注计算机恶意软件的防御、检测、清除以及遭受攻击后数据的恢复,为电脑用户提供anti-malware 的相关技术资料,目的在于促进反恶意软件领域的发展。在其官方网站上有提供该杂志的PDF文件以及在线HTML浏览。
需要科学上网
(4) 网络与信息安全顶级期刊
我只能说,牛逼!
11. 网络安全需要看的书籍
不建议看书,首先,国内那些书,需要审核的,而这是中国,咱们的审核……我不好评价;国外的书,你操作不了……
你要就是想看的话,那你就看这几本
- 《杜鹃蛋》(The Cuckoo’s Egg) 作者:克利福德·斯托尔
- 《网络安全手册》(The Cybersecurity Playbook) 作者:Allison Cerra
- 《Python Crash Course》第二版 作者:Eric Matthes
- 《网络战争:对国家安全的下一个威胁及其应对措施》 作者:理查德·克拉克(Richard A. Clarke)和罗伯特·K·纳克(Robert K. Knake)
- 《线中幽灵》 作者:凯文·米特尼克(Kevin Mitnick)和威廉·西蒙(William Simon)
- 《网络战争》 作者:查尔斯·亚瑟(Charles Arthur)
- 《使用Python自动完成无聊的工作》第二版 作者:Al Sweigart
- 《秘密与谎言:网络世界中的数字安全》 作者:布鲁斯·施耐尔(Bruce Schneier)
- 《社会工程学》 作者:Christopher Hadnagy
- 《零日倒计时》 作者:Kim Zetter
12. 网络安全后期可以做测试吗
嗯……那肯定的啊
13. 网络安全证书有哪些
(1) CISP 国家注册信息安全专业人员
说到CISP,安全从业者基本上都有所耳闻,算是国内权威认证,毕竟有政府背景给认证做背书,如果想在政府、国企及重点行业从业,企业获取信息安全服务资质,参与网络安全项目,这个认证都是非常重要的。
CISP在你参加考试的时候,培训机构都会问你是选择CISO/CISE,不要担心,这两个只是考试方向,证书都是测评中心颁发的,认证详细情况请看后续推送….
(2) CISP-PTE 国家注册渗透测试工程师
这个认证是2017年360企业集团联合中国信息安全测评中心推出的国内首个渗透测试认证,证书首先也是国测认证,所以具备申请安全服务资质的作业;同时由于360参与运营,持证人员可以享受360企业安全服务部门免面试的福利。
这个认证有个很大的特点,就是考试为实际操作,考验大家渗透技能的机会来了…
(3) CISP-A国家注册信息系统审计师
CISP-A是2017年国测推出的审计方向认证,中国信息安全测评中心在之后会针对企业颁发信息系统审计服务资质,就像企业向国家申请安全服务资质里面要求CISP一样,审计服务资质里面也会强制要求CISP-A的数量,提供审计服务的工作单位可以关注一下。
(4) CISSP 国际注册信息安全专家
这个认证基本上在安全行业也算知名度很高的了,发证机构是ISC。 这个认证也是大家公认比较难考的一个,首先是覆盖面广,知识点很多,如果没有相关安全的工作经验,上来就直接复习,是会很烧脑的。另一个是认证方面,即使考试通过以后,想要拿到证书,需要申请人在八个域中至少2个域方面有五年相关工作经验,这个门槛就有点高。但是如果工作经验不足,也是可以参加考试,通过维持成绩的方法,到工作经验足够再去申请认证。详细情况请看后续…
截止到目前为止,官方统计CISSP大陆持证人数为2000人左右。取得CISSP认证,表明持有者拥有完善的信息安全知识体系和丰富的行业经验,以卓越的能力服务于各大IT相关企业及电信、金融、大型制造业、服务业等行业,CISSP的工作能力值得信赖。
(5) CISA国际注册信息系统审计师
CISA的发证机构是ISACA,这个机构还有CISM CRISC COBIT5.0等认证。先说CISA,这个目前在国内已经有很大影响了,据谷姐了解,在校生都已经开始意识到它对自己找工作的重要性;另一方面,现在大家可以看看四大咨询、金融证券行业、it审计岗或者是信息科技部门的员工,包括传统审计师对于CISA的青睐。
CISA跟CISSP一样,同样需要5年的工作经验,其中至少2年审计/控制领域的工作经验,工作经验相对CISSP有一些宽松,学历抵扣经验最多可以抵3年,而且成绩有效期是5年,所以可以先参加考试,后申请证书。
(6) CISM国际注册信息安全经理
CISM的发证机构是ISACA,跟上面的CISA是同一个发证机构。这个认证相对CISSP来说不相上下,难度甚至高于CISSP。CISM不同于其他的信息安全认证,在于它的经验要求以及集中在信息安全经理人工作上的执行。其他信息安全认证重点在于特定的技术、作业平台或是产品信息。或是针对信息安全工作的前几年工作。唯有CISM是针对信息安全经理人,重点已经不再是个别的技术或者是技能,而是移转到整个企业的信息安全管理。CISM是针对管理并且监督企业的信息安全的个人,许多人可能在其他领域都已经持有相关的认证。就因为集中在管理上的需要,以致工作经验相对有其重要性,所以CISM要求最少要有5年信息安全管理的经验,而考试的内容也都集中在信息安全经理人日常处理的工作上。
(7) Security+信息安全技术专家
Security+是美国计算机协会CompTIA颁发的证书。这个认证主要偏向信息安全技术,学习内容相对较浅,适合刚毕业或者是从业经验少,需要转行做信息安全的人员。这对于想要入门安全行业是一个很好的敲门砖,尤其是外资企业对这个认证认可度。比较吸引人的是,对于参加考试的人员没有工作经验以及学历的要求,这对很多安全爱好者来说是很大的一个学习动力。
(8) ISO27001 Foundation认证
ISO27001 Foundation是由APMG机构颁发的认证,作为信息安全管理方面最著名的国际标准—ISO/IEC 27001(简称ISMS),可以指导我们现实工作。 ISO 27001Foundation是为了培养并提高信息安全管理体系(ISO 27001)建设者所开设的课程,更注重信息安全管理体系的实施、维护与优化方面。
(9) C-CCSK 云安全认证
C-CCSK是目前国内唯一的云安全认证,由云安全联盟(CSA)颁发认证。2011年国际云安全联盟正式推出了“云计算安全知识认证(CCSK)”,经过5年的发展,CCSK已经成为云安全人才领域最权威的认证之一。
国内来说,对云服务商或者是安服公司员工在做云安全项目时,这个认证首先可以让大家对云安全有个初步的了解,并且给项目带来必要的支持。
(10) DevOps Master 开发和运维
DevOps Master的发证机构是EXIN,它是一套最佳实践方法论,旨在在应用和服务的生命周期中促进 IT 专业人员(开发人员、运维人员和支持人员)之间的协作和交流,最终要实现:持续集成、持续部署、持续反馈。适合做敏捷开发、运维、项目经理等职位的人去学习,提高工作效率。
(11) Prince2 受控环境下的项目管理
Prince2 在国内的熟知度虽不如PMP,但同样都是项目管理,两者的区别在于理论与实践。很多人啃下PMP,转头又来学习Prince2 ,这是为什么?这可不是小编瞎说,很多学员反映说PMP理论性太强,大家实际工作中都用不到;并且相对于Prince2来说,PMP只是初级项目管理认证,持有PMP证书的人想获得更高级别的项目管理认证,也是要继续考Prince2的专业级认证。
14. 网络安全可以进入的大厂有哪些
只要公司跟互联网有关系都有网络安全
15. 网络安全要买课的话买谁的课
……等我接广告的再说
16. 关于周刊的问题
个人建议,不用看周刊,反正我是没咋看过,名词太多,太专业化了。其实看周刊的目的是为了拿到最新的情况,这样的话,你可以去国家信息安全漏洞库去看看,或者其他的漏洞库,这里有最新的漏洞,到时候自己研究研究。
不过这里还有一些情况,那就是0day和一些敏感信息,比如PDD的那个安卓利用,正式发布通告比发现的时间晚了不少,一开始都是在一些小圈子里传的,小道消息才是王道。
然后就是0day,这个你就不用想了,除非你自己挖的,或者有关系,公司里有,要不然都不会告诉你。
这里推荐几个网站吧
- 国家信息安全漏洞库: 这个刚才讲过了
- 腾讯云开发者社区: 虽然是腾讯的,不过内容还可以,高质量文章挺多
- 低调求发展 - 潜心习安全: 全是大佬,不过注册需要一个原创漏洞……
- FreeBuf网络安全行业门户: 这我就不说了,基本上你只要搜网安相关的内容就有他
- 🔰雨苁ℒ🔰: 这是一位大佬的个人博客
这里就先简单说这么多,基本上你要找的内容都可以在这里找到,还有一些公众号和个人网站,他们会有一些网上不传播的工具,这些都要你自己去搜,用谷歌语法搜也能找到一堆。
17. 关于看国外文章需要科学上网的问题
插件不好用,这是一个普遍的问题,这……我没法解决……自己花钱买个机场吧,30多一个月的,20多一个月的,基本省省都能买得起。
不建议自己搭建,因为太贵了,而且还是一条线路,还时不时被封,恶心你一下。不过你就是有啥特殊的网络需求,比如你就是要一个美国网络,那你可以考虑自己建一个,不然的话,还是老老实实用机场吧。
如果你就是不想花钱,一毛钱都不想出,那你就只能凑合用插件,或者网上人家用完的代理链接。