网络安全03_推荐书籍_网络安全工具_搜集到的网络安全学习的建议_Web安全/渗透测试技能要求

网络安全03

一、推荐书籍

二、网络安全工具

三、搜集到的网络安全学习的建议

1、先网络后安全
很多初学者还没搞定网络看懂网络拓扑，就急着研究防火墙或VPN，其实这样就不清楚整个网络架构是如何安全演进的。正确的流程是：先通过网络协议和拓扑设计的学习，能独立搭建一个企业网/校园网，再引入局域网安全、防火墙、入侵检测、VPN等安全技术，使整个网络慢慢变得安全起来，这样才能看到整个网络安全的全貌。
2、勤做实验勤抓包
目前各大网络和安全厂商都有对应的模拟器，不再需要硬件支持就可以在电脑上完整模拟整个工程项目，大大减低了初学者的学习门槛。通过模拟器的支持，多做实验，熟悉各大厂商的命令集，以此来验证学过的网络和安全原理；而更重要的是，要习惯采用Wireshark等抓
包工具，对底层协议进行观察和分析。举例，要研究IPsec VPN的安全，除了掌握复杂的命令调试，更应该做的就是把VPN隧道建立过程通过抓包进行数据包分析，这样就能看到更底层的实现，记忆也能更加深刻。
3、单点突破横向拓展
在我刚接触网络和安全产品的时候也是非常懵逼的，这么多产品怎么学的完？每个安全厂家都有自己的产品线，而不同产品的部署有些基于CLI（命令）有些则基于GUI（图形）。后面发现只要深入掌握某个厂商的命令和图形界面，不是死记命令而是记住命令背后的调试辑，这样去研究同类安全产品的时候，就会发现“一通百通”，以后真正遇到新的安全产品，只要查阅相关官方手册则可以较快上手。
4、从工程实施到方案设计
从安全工程师到安全架构师，从单纯的工程部署升级到更全局的安全架构，这是每个安全工程师的坎，是升级的必经之路。以安全工程师定位的话，只要熟悉安全设备和部署，做好安全响应，搞定安全设备故障就够了；而安全设计/安全架构师则需要熟悉一些安全标准，例
如国内的信息安全等级保护制度，这里不仅涉及到跨厂商的安全产品选型，也涉及安全拓扑的设计。
5、先网站再安全
Web安全渗透涉及的知识量和工具集如此庞大，要深入Web安全，建议花时间搞定Web网站，例如用自己最熟悉的编程语言，最小单位最快速度做一个Web网站出来，这样能将前后端语言、服务器、数据库等知识串联起来，对Web有源代码级别的理解。在此基础上研究Web安全，就知道哪里是前端安全、哪里是后端安全，哪里是攻击点、哪里是防御点。另外，Web安全问题和攻击手法众多，先掌握OWASP Top10，再继续拓展其他。
6、勤实践多折腾
渗透测试/Web安全的实践思路，没有太多标准路线，甚至很多是“野路子”玩法（俗称“日站”）。而野路子玩法也常常伴随着法律风险，目前还可以通过刷渗透靶机、刷CTF题库、刷漏洞平台（众测平台）来实战。而正式工作的话，则更多是通过积累安全项目来不断提高技能。

四.Web安全/渗透测试技能要求

1、安全理论：HTTP协议、OWASP TOP 10 、PETS、ISO 27001…
2、后端安全：SQL注入、文件上传、Webshell、文件包含、命令执行… 3、前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造… 4、渗透测试：Kali Linux、Metasploit、Nmap、Nessus、Meterpreter……
5、安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火
墙）、IDS/IPS（Web入侵防御）、主机防护…
----更多（加分项）—
6、一门及以上编程语言（Python、Javascript、PHP、C）；
7、Windows/Linux等服务器操作及安全加固；
8、MySQL/Oracle等数据库操作及安全加固；
9、Web框架及Web网站独立开发。
……

五、国内外安全企业网站

国外：
l Fireeye：https://www.fireeye.com/
l Checkpoint：https://www.checkpoint.com/
l fortinet（飞塔）：http://www.fortinet.com.cn/
l Palo Alto：https://www.paloaltonetworks.cn/
l 思科（安全）：http://www.cisco.com/c/zh_cn/products/security/index.html
l Juniper（瞻博网络）：http://www.juniper.net/cn/zh/
l 赛门铁克：https://www.symantec.com/zh/cn

国内：
l 启明星辰：http://www.venustech.com.cn/
l 绿盟科技：http://www.nsfocus.com/
l 天融信：http://www.topsec.com.cn/
l 深信服：http://www.sangfor.com.cn/
l 360企业安全：http://b.360.cn/
l 安恒信息：http://www.dbappsecurity.com.cn/
l 知道创宇：https://www.yunaq.com/
l 蓝盾科技：http://www.bluedon.com/
l 山石网科：http://www.hillstonenet.com.cn/
l 科来：http://www.colasoft.com.cn/
l 华为安全：http://e.huawei.com/cn/products/enterprise-networking/security

国内网络安全新闻/媒体：
l 安全导航：https://navisec.it/
l FreeBuf：http://www.freebuf.com/
l E安全：https://www.easyaq.com/
l Secwiki：https://www.sec-wiki.com/
l 嘶吼：http://www.4hou.com/
l 360安全播报：http://bobao.360.cn/index/index
l 91安全攻防指南：http://www.91ri.org/

知名安全工具官网：
sectool：http://sectools.org/
Kali：https://www.kali.org/
nmap：https://nmap.org/
wireshark：https://www.wireshark.org/
metaspolit：https://www.metasploit.com/
nessus：http://www.tenable.com/
openvas：http://www.openvas.org/
sqlmap：http://sqlmap.org/
Parrot OS：http://www.parrotsec.org/
w3af：http://w3af.org/
burpsuite：https://portswigger.net/burp/
awvs：https://www.acunetix.com/
shodan：https://www.shodan.io/
cobaltstrike：https://www.cobaltstrike.com/
hydra：https://www.thc.org/thc-hydra/
John the Ripper：http://www.openwall.com/john
modsecurity：http://www.modsecurity.org/
zoomeye：https://www.zoomeye.org

国内漏洞/众测/安全响应平台
l SRC导航：http://0xsafe.org/
l 360补天：http://butian.360.cn/
l Seebug：https://www.seebug.org/
l 漏洞盒子：https://www.vulbox.com/
l 云盾先知：https://xianzhi.aliyun.com/
l 腾讯众测：https://security.tencent.com/

网络安全相关面经（针对应届生/新手）
l 绿盟科技安全服务工程师面经（小乔）：
http://www.pinginglab.net/article/42
l 360安全服务工程师面经（汤同学）：
http://www.pinginglab.net/article/36
l 360安全服务工程师面经（刘同学）：
http://www.pinginglab.net/article/24
l 中国移动信息安全工程师面经（小鸣）：
http://www.pinginglab.net/article/23

网络安全公开课汇总

• TCP/IP协议栈：http://www.pinginglab.net/course/164
• IP地址与子网划分：http://www.pinginglab.net/course/167
• GNS3模拟器：http://www.pinginglab.net/course/4
• Wireshark协议分析：http://www.pinginglab.net/course/3
• 大中型企业网实战：http://www.pinginglab.net/course/9
• SDN软件定义网络：http://www.pinginglab.net/course/7
• Panabit流控管理：http://www.pinginglab.net/course/6
• WiFi攻防那些事：http://www.pinginglab.net/course/10
• Kali Linux渗透测试：http://www.pinginglab.net/course/11/tasks
• Web安全入门导论：http://www.pinginglab.net/course/70
• Web实验室搭建：http://www.pinginglab.net/course/86

六、总结

1.最佳学习姿势就是根据知名安全企业的招聘信息反推出学习路径，然后根据书籍、实验/工具、视频等方式进行针对性学习。
2.网络安全和Web安全/渗透测试的学习路径有所差异，例如网络安全是“先网络后安全”，而Web安全是“先网站后安全”。当然，个人职业发展若是成为一个“全栈安全工程师”，不要被行业分类给限制了，有兴趣就着手研究。
3.除了学习技术，平常也可以多上安全企业官网、安全媒体网站了解最新产品和安全资讯，提高安全视野，培养“安全感”。

为什么校园网上网需要客户端/网页认证？

学号/电话号码上网：有记录，犯罪有实锤------局域网接入认证