[系统运维] 网络安全03_推荐书籍_网络安全工具_搜集到的网络安全学习的建议_Web安全/渗透测试技能要求

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

[系统运维]网络安全03_推荐书籍_网络安全工具_搜集到的网络安全学习的建议_Web安全/渗透测试技能要求_国内外安全企业网站

网络安全03

一、推荐书籍

在这里插入图片描述

二、网络安全工具

在这里插入图片描述

三、搜集到的网络安全学习的建议

1、先网络后安全
很多初学者还没搞定网络看懂网络拓扑，就急着研究防火墙或VPN，其实这样就不清楚整个网络架构是如何安全演进的。正确的流程是：先通过网络协议和拓扑设计的学习，能独立搭建一个企业网/校园网，再引入局域网安全、防火墙、入侵检测、VPN等安全技术，使整个网络慢慢变得安全起来，这样才能看到整个网络安全的全貌。
2、勤做实验勤抓包
目前各大网络和安全厂商都有对应的模拟器，不再需要硬件支持就可以在电脑上完整模拟整个工程项目，大大减低了初学者的学习门槛。通过模拟器的支持，多做实验，熟悉各大厂商的命令集，以此来验证学过的网络和安全原理；而更重要的是，要习惯采用Wireshark等抓
包工具，对底层协议进行观察和分析。举例，要研究IPsec VPN的安全，除了掌握复杂的命令调试，更应该做的就是把VPN隧道建立过程通过抓包进行数据包分析，这样就能看到更底层的实现，记忆也能更加深刻。
3、单点突破横向拓展
在我刚接触网络和安全产品的时候也是非常懵逼的，这么多产品怎么学的完？每个安全厂家都有自己的产品线，而不同产品的部署有些基于CLI（命令）有些则基于GUI（图形）。后面发现只要深入掌握某个厂商的命令和图形界面，不是死记命令而是记住命令背后的调试辑，这样去研究同类安全产品的时候，就会发现“一通百通”，以后真正遇到新的安全产品，只要查阅相关官方手册则可以较快上手。
4、从工程实施到方案设计
从安全工程师到安全架构师，从单纯的工程部署升级到更全局的安全架构，这是每个安全工程师的坎，是升级的必经之路。以安全工程师定位的话，只要熟悉安全设备和部署，做好安全响应，搞定安全设备故障就够了；而安全设计/安全架构师则需要熟悉一些安全标准，例
如国内的信息安全等级保护制度，这里不仅涉及到跨厂商的安全产品选型，也涉及安全拓扑的设计。
5、先网站再安全
Web安全渗透涉及的知识量和工具集如此庞大，要深入Web安全，建议花时间搞定Web网站，例如用自己最熟悉的编程语言，最小单位最快速度做一个Web网站出来，这样能将前后端语言、服务器、数据库等知识串联起来，对Web有源代码级别的理解。在此基础上研究Web安全，就知道哪里是前端安全、哪里是后端安全，哪里是攻击点、哪里是防御点。另外，Web安全问题和攻击手法众多，先掌握OWASP Top10，再继续拓展其他。
6、勤实践多折腾
渗透测试/Web安全的实践思路，没有太多标准路线，甚至很多是“野路子”玩法（俗称“日站”）。而野路子玩法也常常伴随着法律风险，目前还可以通过刷渗透靶机、刷CTF题库、刷漏洞平台（众测平台）来实战。而正式工作的话，则更多是通过积累安全项目来不断提高技能。

四.Web安全/渗透测试技能要求

1、安全理论：HTTP协议、OWASP TOP 10 、PETS、ISO 27001…
2、后端安全：SQL注入、文件上传、Webshell、文件包含、命令执行… 3、前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造… 4、渗透测试：Kali Linux、Metasploit、Nmap、Nessus、Meterpreter……
5、安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火
墙）、IDS/IPS（Web入侵防御）、主机防护…
----更多（加分项）—
6、一门及以上编程语言（Python、Javascript、PHP、C）；
7、Windows/Linux等服务器操作及安全加固；
8、MySQL/Oracle等数据库操作及安全加固；
9、Web框架及Web网站独立开发。
……

五、国内外安全企业网站

国外：
l Fireeye：https://www.fireeye.com/
l Checkpoint：https://www.checkpoint.com/
l fortinet（飞塔）：http://www.fortinet.com.cn/
l Palo Alto：https://www.paloaltonetworks.cn/
l 思科（安全）：http://www.cisco.com/c/zh_cn/products/security/index.html
l Juniper（瞻博网络）：http://www.juniper.net/cn/zh/
l 赛门铁克：https://www.symantec.com/zh/cn

国内：
l 启明星辰：http://www.venustech.com.cn/
l 绿盟科技：http://www.nsfocus.com/
l 天融信：http://www.topsec.com.cn/
l 深信服：http://www.sangfor.com.cn/
l 360企业安全：http://b.360.cn/
l 安恒信息：http://www.dbappsecurity.com.cn/
l 知道创宇：https://www.yunaq.com/
l 蓝盾科技：http://www.bluedon.com/
l 山石网科：http://www.hillstonenet.com.cn/
l 科来：http://www.colasoft.com.cn/
l 华为安全：http://e.huawei.com/cn/products/enterprise-networking/security

国内网络安全新闻/媒体：
l 安全导航：https://navisec.it/
l FreeBuf：http://www.freebuf.com/
l E安全：https://www.easyaq.com/
l Secwiki：https://www.sec-wiki.com/
l 嘶吼：http://www.4hou.com/
l 360安全播报：http://bobao.360.cn/index/index
l 91安全攻防指南：http://www.91ri.org/

知名安全工具官网：
sectool：http://sectools.org/
Kali：https://www.kali.org/
nmap：https://nmap.org/
wireshark：https://www.wireshark.org/
metaspolit：https://www.metasploit.com/
nessus：http://www.tenable.com/
openvas：http://www.openvas.org/
sqlmap：http://sqlmap.org/
Parrot OS：http://www.parrotsec.org/
w3af：http://w3af.org/
burpsuite：https://portswigger.net/burp/
awvs：https://www.acunetix.com/
shodan：https://www.shodan.io/
cobaltstrike：https://www.cobaltstrike.com/
hydra：https://www.thc.org/thc-hydra/
John the Ripper：http://www.openwall.com/john
modsecurity：http://www.modsecurity.org/
zoomeye：https://www.zoomeye.org

国内漏洞/众测/安全响应平台
l SRC导航：http://0xsafe.org/
l 360补天：http://butian.360.cn/
l Seebug：https://www.seebug.org/
l 漏洞盒子：https://www.vulbox.com/
l 云盾先知：https://xianzhi.aliyun.com/
l 腾讯众测：https://security.tencent.com/

网络安全相关面经（针对应届生/新手）
l 绿盟科技安全服务工程师面经（小乔）：
http://www.pinginglab.net/article/42
l 360安全服务工程师面经（汤同学）：
http://www.pinginglab.net/article/36
l 360安全服务工程师面经（刘同学）：
http://www.pinginglab.net/article/24
l 中国移动信息安全工程师面经（小鸣）：
http://www.pinginglab.net/article/23

网络安全公开课汇总

? TCP/IP协议栈：http://www.pinginglab.net/course/164
? IP地址与子网划分：http://www.pinginglab.net/course/167
? GNS3模拟器：http://www.pinginglab.net/course/4
? Wireshark协议分析：http://www.pinginglab.net/course/3
? 大中型企业网实战：http://www.pinginglab.net/course/9
? SDN软件定义网络：http://www.pinginglab.net/course/7
? Panabit流控管理：http://www.pinginglab.net/course/6
? WiFi攻防那些事：http://www.pinginglab.net/course/10
? Kali Linux渗透测试：http://www.pinginglab.net/course/11/tasks
? Web安全入门导论：http://www.pinginglab.net/course/70
? Web实验室搭建：http://www.pinginglab.net/course/86

六、总结

1.最佳学习姿势就是根据知名安全企业的招聘信息反推出学习路径，然后根据书籍、实验/工具、视频等方式进行针对性学习。
2.网络安全和Web安全/渗透测试的学习路径有所差异，例如网络安全是“先网络后安全”，而Web安全是“先网站后安全”。当然，个人职业发展若是成为一个“全栈安全工程师”，不要被行业分类给限制了，有兴趣就着手研究。
3.除了学习技术，平常也可以多上安全企业官网、安全媒体网站了解最新产品和安全资讯，提高安全视野，培养“安全感”。