渗透安全工程师需要学什么
最新回答
渗透测试是一个热门市场。总的来说安全是很有需求的,尤其是现在比以往任何时候都或缺,你需要对它充满热情。要成为一名渗透测试工程师,对于计算机,和网络如何工作必须要有广泛的认识。每个渗透测试人员必须掌握编程语言,了解网络如何工作和作,如何设计,了解互联网和安全,是时候学习技术,掌握渗透测试最重要的是实践,所以新的渗透测试人员应该准备易受攻击的虚拟机并试图破解它们并参加CTF竞赛。你每天都必须学习新东西,所以你应该每天更新自己,不断练习,不断获得新技能,永不停止学习。
如何进入渗透测试行业?
答案很简单,自学或者培训。
大家都是成年人了,做事前都会考虑成本,衡量利弊。如今信安市场需求大,各个企业争先恐后的在重金抓有能力的人,也就是我们常说的项目经验,我们这个行业别的要求不高,就是做项目的能力,到了公司是否可以干活,能干活完成任务怎么样都可以。
现实给你狠狠一巴掌,都是凭实力说话。
先来说说线下培训班的优势:
能给你提供沉浸式的学习环境;
能相对地学习渗透知识;
遇到问题有老师解惑,有同学探讨;
还能推荐就业。
优势很明显,但弊端同样存在:
学费昂贵,动辄一万起;
容易遇到坑
如果想参加线下培训,建议慎重选择,最好实地了解。
说完线下培训,我们再来说说“闭门造车”,自学是否行得通。
有人说, 自学不,容易走弯路; 自学时间长,不知道学到什么时候是个头; 遇到问题没有交流探讨的人,很容易出现气馁心理,打击自信心。
以上这些情况,知了姐还是比较赞同的,自学需要一定的自制力和意志力,不能三天打鱼两天晒网,要每天坚持不断地学习,还得有效率。
自学的优势也同样比较明显: 几乎零成本学习,省钱,你只需要一台能上网的电脑; 能按照自己的需求,安排学习路线; 时间自由,地点自由,一切凭兴趣驱动。
如果是自学能力强的同学,且对渗透测试充满热情,知了姐倒是建议走自学渗透这条路,但这条路注定充满孤独,一定要挺住。
首先从国家层面出发,网络安全已上升到国家层面,随着等保0出台,相应的行业迎来蓬勃发展,当然作为渗透测试方向,可持续的发展力也不容质疑。那么对于渗透测试,学习的内容有:网络基如TCP/IP、协议包分析、http、HTML、CSS、JS、JA/PHP代码分析,接下来掌握数据库的基语法等,还有就是Linux的基作,shell命令、脚本等,必须要掌握一门语言,如ruby、perl、python等。有了这些基之后,就可以深层次的学习渗透测试了,渗透测试的技术必须掌握的有如:web渗透、主机渗透、内网渗透、 App渗透测试等,渗透测试的思路如下:收集、社工技术、漏洞检测、漏洞验证、后渗透入提权、后门技术等,以及要学会编写渗透测试报告。当然还需要了解项目安全服务类如什么是等保、风险评估等。
作为我国安全发展最为发达的城市之一,成都聚焦建设网络安全生态圈,加快融合科研院所、企业和人才资源,紧盯前沿,形成了产业集聚地。成都安全产业已构建起以高新区南部园区、天府新区成都直管区、双流区为主体聚集区与核心发展区,以武侯区、锦江区为产业协作区的“1+2”空间布局,助推成都打造多领域、全覆盖的网络安全产业聚集中心。
但是成都的网络安全培训机构却并不如Java培训机构那么多,大部分聚集在软件园附近,所以想要了解的话,建议直接实地了解,也可以要求试听,这样,更容易选到谱的机构。
零基、转专业、跨行等等都可以总结为,零基或者有一点基的想转网络安全方向该如何学习。
要成为一名,实战是必要的。安全技术这一块儿的核心,说白了60%都是实战,是需要实际作。
如果你选择自学,需要一个很强大的一个坚持毅力的,还有钻研能力,大部分人是东学一块西学一块儿,不成体系化的纸上谈兵的学习。许多人选择自学,但他们不知道学什么。
再来说说,先学编程还是渗透,
很多人说他们想学编程,但是在你学了编程之后。会发现离越来越远了。
如果你是计算机专业的,之前也学过编程、网络等等,这些对于刚入门去学渗透就已经够了,你刚开始没必要学那么深,有一定了解之后再去学习。如果是转专业、零基的可以看我下面的链接,跟着公开课去学习。
B站有相关零基入门网络安全的
快速入门
另外说一句,渗透是个立马可以见效的东西,满足了你的多巴胺,让你看到效果,你也更有动力去学。
举个栗子:你去打游戏,杀了敌人,是不是很舒服,有了反馈,满足了你的多巴胺。
编程这玩意,周期太长,太容易劝退了,说句不好听的,你学了三个月,可能又把之前学的给忘了。这又造成了循环。所以想要学网安的可以先学渗透。在你体验了乐趣之后,你就可以学习编程语言了。这时,学习编程语言的效果会更好。因为你知道你能做什么,你应该写什么工具来提高你的效率!
先了解一些基本知识,协议、端口、数据库、脚本语言、中间件、作等等,
接着是学习web安全,去靶场练习,再去注册src挖漏洞实战,
学习内网,接着学习PHP、python等、后面就学习代码审计了,
最后还可以往硬件、APP、逆向、去学习等等
(图片来自A1Pass)
网络安全学习实际上是个很漫长的过程,这时候你就可以先找工作,边工边学。
怎么样能先工作:
学完web安全,能够完成基本的渗透测试流程,比较容易找到工作。估计6到10k
内网学完估计10-15k
代码审计学完20-50k
红队表哥-薪资自己谈
再来说说如果你是对渗透感兴趣,想往安全方面走的,我这边给你一些学习建议。
不管想学什么,先看这个行业前景怎么样-
2022年我国网络安全人才缺口超70万,国内3000所高校仅120所开设相关专业,年培养1万-2万人,加上10
-
20家社会机构,全国每年相关人才输送量约为3万,距离70万缺口差距达95%,此外,2022年网络安全人才需求量直线增长,预计达到187万,届时,人才需求将飙升278%!
因为行业人才输送与人才缺口的比例问题,网络安全对从业者经验要求偏低,且多数对从业者学历不设限。越来越多的行业从业者上升到一定阶段便再难进步,很容易被新人取代,但网络安全与其他行业的可取代不同,网络安全工程师将在未来几十年都处于紧缺状态,并且,对于防御攻击,除了极少数人天分,经验才是保证网络安全的第一法则。
其次,不管是什么行业都好,引路人很重要,在你刚入门这个行业的时候,你需要向行业里最优秀的人看齐,并以他们为榜样,一步一步走上优秀。
不管是学习什么,学习方法很重要,当你去学习其他知识时候,
都可以根据我下面介绍的方法去学习:
四步学习法
一、学习
二、模仿
三、实战
四、反思
说在前头,不管是干什么,找到好的引路人很重要,一个好老师能让你少走很多弯路,迈开脚步往前冲就行。
第一步,找到相关资料去学习,你对这个都不了解,这是你之前没接触过的领域,不要想着一次就能听懂,当然天才除外(狗头滑稽),听完之后就会有一定的了解。
第二步,模仿,模仿什么,怎么模仿?先模仿老师的作,刚开始可能不知道啥意思,模仿两遍就会懂一些了。
第三步,实战,怎么实战?先去我们配套的靶场上练习,确定靶场都差不多之后,再去申请成为白帽子,先去挖公益src,记住,没有授权的网站都是违法的。(师父领进门,判刑在个人)
第四部,反思,总结你所做的步骤,遇到的问题,都给记录下来,这个原理你理解了吗?还是只是还是在模仿的部分养成做笔记的习惯。
学习方式有了,接下来就是找到正确的引路人进行学习,一个好的引路人,一个完整的体系结构,能让你事半功倍。
对你从事很多网络相关工作,都是非常有帮助的,就好像你的内功,是基本功!
简单的穿透分割不需要掌握数据结构,只需要不断研究穿透(白颜)或恒侵目标(黑颜),以吸取经验形成渗透式,而数据结构只知一点点。我知道之间有很强的穿透力,但数据结构不好,算法的数据结构将达不到尽善尽美的渗透去。是否有很强的,有!很少,我没看过。没有评论。但是,如果主题所有者想要接近研究和发展方向,数据结构的思想是非常必要的。思想算法可以使你离研发道路越来越远。你想选择什么方向或者你感兴趣的是什么?
基本工作的重要
学生们经常问这样的问题。老师学了高等数学,有什么用?老师,微机原理有什么用?这是基,是内部工作,实践思维,要好好学习。这很有道理。我通常对同学们回答这个问题。
学习“数据结构”,你就开始有点专业化,开始专业的思维,专业的编程处理。有很多人可以编程,比如排序,一般人是编程得到正确的结果,但是,作为一个数据结构的学生,对于十种教材,你必须根据实际的应用场景来分析。应权衡时间和空间的复杂。
个人的观点是,这些都是基,虽然似乎并不相关,但使用起来并不十分恼人。因为它是基,你要学会这些,不要离开学习和工作更加连贯的网络安全知识。你认为这些基是物理化学、生物学、高中历史和地理。
安全运维工程师
由于有些知名度比较高的网站,每天的工作量和资料都是十分庞大的,所以在网站正常运行状态中肯定会出现各种问题,例如一些数据丢失甚至是崩溃都是有肯出现的,这个时候就需要一个网站人员了,而我们通过网络安全培训学习内容也是工作上能够用到的。
网络安全工程师
为了防止入侵盗取公司机密资料和保护用户的,许多公司都需要建设自己的网络安全工作,而网络安全工程师就是直接负责保护公司网络安全的核心人员。
渗透测试岗位
渗透测试岗位主要是模拟攻击,利用技术,挖掘漏洞,提出修复建议。需要用到数据库,网络技术,编程技术,作,渗透技术、攻防技术、逆向技术等。
等保测评
等保测评主要是针对目标进行安全级别评定,需要用到数据库、网络技术、作以及渗透技术、攻防技术等等。
攻防工程师
攻防工程师岗位主要是要求能够渗透能够防范,需要用到数据库、网络技术、作、编程技术、渗透技术等技术点。
目前互联网、通信、新能源、房地产、金融证券、电子技术等行业迫切需要网络安全人才,因为网络安全的重要,
每一行业同时又催生出不同的需求方向,从业者完全可以根据自己的喜好自主择业