学信息安全需要哪些基础
发布网友
发布时间:2022-04-29 18:17
我来回答
共4个回答
热心网友
时间:2022-04-10 20:50
一:学网络安全需要的知识:
1、必须精通TCP/IP协议族。
2、学习和了解各种OS 平台,如:linux,UNIX,BSD 等。
3、随时关注网络安全最新安全动态。
4、熟悉有关网络安全的硬软件配置方法。尤其交换机和路由的配置。
5、多泡网络安全论坛。
6、终身学习。
二:网络安全必修课程:(后面的教材仅为参考)
1、专业基础:
1)C/C++:【C++Primer中文版 还有题解c++ primer 需要一定的C++基础,如果要比较基本的话,钱能的那本不错,清华大学出版社的。 <<c programming languge>> 全球最经典的C语言教程 中文名字<<c程序设计语言>>】
2)汇编语言 asm
3)操作系统【linux,UNIX,BSD】UBUNTU是linux操作系统 鸟哥的linux私房菜】
4)计算机网络
2、系统编程:(Windows核心及网络编程)
2.1、精通VC/C++编程,熟悉windows网络SOCKET编程开发
1)《Windows网络编程(第二版)》(附光盘),(美)Anthony Jones, Jim Ohlund著;杨合庆译;清华大学出版社,2002.1
2)《Windows 核心编程(第四版)》(附光盘),(美)Jetfrey Richter著,王建华 等译;机械工业出版社,2006.9
2.2、逆向工程:
1)《加密与解密(第二版)》(附光盘),段钢 著,电子工业出版社;2004.5
3、网络协议:
1)《计算机网络实验教程》(《COMPUTER NETWORKS: INTERNET PROTOCOLS IN ACTION》),(美)JEANNA MATTHEWS著,李毅超 曹跃 王钰 等译,人民邮电出版社,2006.1
2)《TCP/IP协议详解卷一:协议》、《TCP/IP详解卷2:实现》、《TCP/IP详解卷3:TCP 事务协议、HTTP、NNTP和UNIX域协议》,美 W.Richard Stevens 著,机械工业出版社,2004.9或《用TCP/IP进行网际互联第一卷:原理、协议与结构》、《用TCP/IP进行网际互联第二卷:设计、实现与内核》、《用TCP/IP 进行网际互联第三卷:客户-服务器编程与应用》(第四版)、(美)Douglas E.Comer林瑶 等,电子工业出版社,2001 年5月
4、网络安全专业知识结构:
1)《信息安全原理与应用(第三版)》(《Security in Computing》),(美)CharlesP Pfleeger,Shari Lawrence Pfleeger著;李毅超,蔡洪斌,谭浩 等译; 电子工业出版社,2004.7
2)《黑客大曝光--网络安全机密与解决方案》(第五版),(美)Stuart McClure,Joel Scambray, George Kurtz;王吉军 等译,清华大学出版社,2006年4月
三:英语学好,也是有用的,尤其是考一些比较有用的证。
热心网友
时间:2022-04-10 22:08
需要看你个人对网络以及各个系统的了解程度,你想要朝网络安全方面发展的话,建议多去查看关于安全方面的学习资料,最主要的是实践,我举个例子,假如现在无法上网,你需要怎么样的思路去思考这个问题呢,是被病毒感染,是DDOS攻击,还是一般的网络故障呢,所以说要学好安全就把各个系统都学好,不要求精通,至少出现问题的时候,可以自己解决,常见的系统有Windows 系列 、linux 、mac os 、solaris要做网络安全,路由器、防火墙、交换机的学习是必不可少的,因为路由也可以帮你实现安全访问,例如ACL访问控制列表,防火墙可以过滤端口,还可以防止一些DDOS攻击,等。。。多看一些关于黑客攻防方面的知识,因为你了解怎么攻击,就知道怎么防,对症下药。。。呵呵看个人的精力,如果能花时间去学精一到两门编程语言最好,例如C语言或者JAVA这两种语言的优点在于跨平台性好,在windows 下面可以运行的程序也可以移植到linux 或者solaris上去,如果以上的内容你在3-5年的时间内学好的话,安全方面基本上因该都精通了。
热心网友
时间:2022-04-10 23:43
数学 密码学
计算机网络 汇编 数据结构 Linux
热心网友
时间:2022-04-11 01:34
大家对于信息安全或网络安全比较熟悉的词应该就是“黑客”了吧,事实上从事网络安全的人在技能上确实让你说一句“我擦,这也可以”。信息安全领域的内容比较杂,很多大学是信息安全专业的同学发现毕业时好像什么也没学到,又有一些非信息安全专业却此次很有兴趣想要自学的,该如何走好第一步,或者要经过几步才能真正入坑?
学习·理论
首先肯定要学一些技术方*了,这个阶段就是入门,C、C++、汇编都是基础中的基础,还有例如软件逆向以及软件调试等初级知识需要掌握,有了这些打底之后,才能深入操作系统内核去了解些操作系统的真正原理。
Web安全的技能点同样多的数不过来,因为要搞Web方向的安全,意味初学者要对Web开发技术有所了解,例如能通过前后端技术做一个Web网站出来,好比要搞[网络安全],首先要懂如何搭建一个网络出来。那么,Web技术就涉及到以下内容:
通信协议:TCP、HTTP、HTTPs
操作系统:Linux、Windows
服务架设:Apache、Nginx、LAMP、LNMP、MVC架构
数据库:MySQL、SQL Server、Oracle
编程语言:前端语言(HTML/CSS/JavaScript)、后端语言(PHP/Java/ASP/Python)
如果按照上面的技能全部学完,不仅时间周期非常长,估计大部分人连学后面安全的兴趣都没有了。所以,这就说到Web安全这个行业另外一个常态了:大部分做Web安全的,并不是刚开始就对Web开发技术非常熟悉的,很多都是半路杀出来了,甚至连Web网站都没有架设过的,这种大有人在。因此有更加狭义的Web安全技术点:
安全理论:OWASP TOP 10 、PETS、ISO 27001…
后端安全:SQL注入、文件上传、Webshell(木马)、文件包含、命令执行…
前端安全:XSS跨站脚本攻击、CSRF跨站请求伪造…
安全产品:Web漏洞扫描(Burp/WVS/Appscan)、WAF(Web应用防火墙)、IDS/IPS(Web入侵防御)、Web主机防护
因此,Web开发技术和Web安全技术其实是相辅相成的,如果对Web开发比较熟悉,意味着研究Web安全时能够更加底层,而不止于安全工具和脚本层面。
>>>.学习 Web 安全方向需要有一定的编程基础<<<<
推荐书单:
《白帽子讲Web安全》
《Hacking the Hacker》
《黑客大曝光》
分享一点知识图谱:
因为图片*发布出去 想要的可以私我VX : e-aqn526
比如一些前辈的分享:
https://zhuanlan.hu.com/p/35753603
https://zhuanlan.hu.com/p/24698829
https://www.hu.com/question/23190460/answer/555364236
网盘资料:
【汇总篇】工具及教程分享链接:
链接:https://pan.baidu.com/s/1uzVqksn44fP2iba5qrJLVA 密码:u8p4
【其他 1】linux下无*版nessus,重新更新链接: https://pan.baidu.com/s/1byuxNOacLhIgwijAqW6NWg提取码: 2333
最新更新包,部署和密码看图链接:
https://pan.baidu.com/s/1OHQJcy1I6fVJGXh-BAG_eA提取码: 23g8
【其他2】Linux版awvs最新版v_190325161破解
链接: https://pan.baidu.com/s/1L_X8DdtSGGmtddaaK7MT1Q提取码: v463
【其他3】Burpsuite和Metasploit基础教程
链接: https://pan.baidu.com/s/13jHPIXPWFl5tZShtQjiEwQ提取码: 4a65
链接:https://pan.baidu.com/s/1pVp8aG0m_qFSuPs1MZvhyA提取码:risd
链接:https://pan.baidu.com/s/1f5jIASYksUSR76CcT-I0xQ 密码:jx
以上是告诉你怎么学,接下来说学会了怎么去动手啊?“没病你就出来走两步”,实践是检验真理的唯一办法——挖洞,有很多漏洞安全提交平台可以让你去挖洞,又或者参加一些CTF比赛,如何参加,可以看我之前的一篇内容:https://www.hu.com/question/321053471/answer/745274731
实践 · 挖洞
去SRC厂商挖洞,比如这些,我这里就不一一赘述了:
因为图片*发布出去 想要的可以私我VX : e-aqn526
挖洞流程:
利用搜集好的域名
Github搜索“src 域名”
https://github.com/search?q=src+域名
SRC基础信息收集
微信公众号、xxsrc微信群。主要关注双倍积分活动、奖励大小、技术交流群里的信息。
通过公开信息掌握基础漏洞
在公开了漏洞标题的平台找最近活跃的漏洞类型是什么,然后找相关的实例学习。
通过公开信息掌握赏金较高的业务系统
通过某些公开了的漏洞标题找到业务系统,然后找同类型业务系统测试
https://sec.ly.com/bugs
https://hackerone.com/hacktivity?sort_type=latest_disclosable_activity_at&filter=type%3Aall&page=1&range=forever
https://d*et.io/lddt
大量的漏洞提交
不同的应急响应中心对业务漏洞的关注度不同,多提交才能知道哪些漏洞是能够高危的
1.不通过是因为写的不够详细,审核复现太麻烦,没有url,
2.教育和*类发现xss不收,高危漏洞类型收的快
3.getshell评分高
漏洞新玩法
1.代码审计白盒挖掘传统漏洞
2.传统漏洞比较少(更多是业务逻辑,越权,资源耗尽导致的拒绝服务,多个漏洞的组合拳(xss+csrf))
3.需要更深层的资产搜集(比如阿里18周年,app搜集)
4.跟踪最新业务(京东618之前,上线了京东保租业务,近期上线了京东房产)
5.大数据分析(采集白帽子们提交的漏洞标题,分析挖洞行为)
6.业务和漏洞威胁情报
7.app漏洞挖掘
8.c/s架构漏洞挖掘/lot设备漏洞挖掘
9.hacker0ne公开的漏洞姿势学习和*上的分享
漏洞扫描器收集
Scanners Box是一个集合github平台上的安全行业从业者自研开源扫描器的仓库
https://github.com/We5ter/Scanners-Box
原博客地址:https://www.cnblogs.com/17bdw/p/11816373.html
一旦你入门信息安全了,请严格遵守法律,树立正确价值观,以上的分享大部分来自网络整理。