網(wǎng)絡(luò)安全真的那么好嗎

據(jù)我了解現(xiàn)在我國(guó)網(wǎng)絡(luò)安全人才缺口相當(dāng)大，預(yù)計(jì)在2023年這方面人才缺口達(dá)到327萬(wàn)，我每年這方面的大學(xué)生才2W多?，F(xiàn)在各政企都在發(fā)展數(shù)字化變革，對(duì)網(wǎng)絡(luò)安全方面人才也是垂涎若渴，所以大家選擇網(wǎng)絡(luò)安全方向發(fā)展是一個(gè)不錯(cuò)的選擇，只要有互聯(lián)網(wǎng)的存在，網(wǎng)絡(luò)安全就需要有人來(lái)維護(hù)，行業(yè)發(fā)展前景好！

從當(dāng)前的發(fā)展趨勢(shì)來(lái)看，在工業(yè)互聯(lián)網(wǎng)的推動(dòng)下，網(wǎng)絡(luò)安全未來(lái)將受到越來(lái)越多的重視，一方面工業(yè)互聯(lián)網(wǎng)進(jìn)一步推動(dòng)了互聯(lián)網(wǎng)與實(shí)體領(lǐng)域的結(jié)合，這明顯拓展了傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用邊界，也使得網(wǎng)絡(luò)安全對(duì)于產(chǎn)業(yè)場(chǎng)景的影響越來(lái)越大，另一方面在新基建計(jì)劃的推動(dòng)下，未來(lái)大量的社會(huì)資源和產(chǎn)業(yè)資源都將全面數(shù)據(jù)化，這必然會(huì)對(duì)網(wǎng)絡(luò)安全提出更多的要求。

網(wǎng)絡(luò)安全人才培養(yǎng)模式

從當(dāng)前的人才培養(yǎng)體系來(lái)看，網(wǎng)絡(luò)安全人才的培養(yǎng)既有本科教育和專科教育，同時(shí)也有研究生教育，所以要想成為網(wǎng)絡(luò)安全人才，途徑還是比較多的，可以根據(jù)自身的實(shí)際情況來(lái)選擇不同的教育方式。對(duì)于當(dāng)前的職場(chǎng)人來(lái)說(shuō)，如果在條件允許的情況下，通過(guò)讀研來(lái)進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域是不錯(cuò)的選擇，近些年網(wǎng)絡(luò)安全方向研究生的就業(yè)情況還是不錯(cuò)的。

網(wǎng)絡(luò)安全涉及領(lǐng)域

相對(duì)于消費(fèi)互聯(lián)網(wǎng)時(shí)代來(lái)說(shuō)，在產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全的技術(shù)體系將全面拓展到物聯(lián)網(wǎng)、大數(shù)據(jù)和人工智能等新興領(lǐng)域，而這些新興領(lǐng)域的技術(shù)還處在快速的發(fā)展過(guò)程中，所以這些領(lǐng)域?qū)τ诎踩囊笠脖容^迫切。以大數(shù)據(jù)為例，大數(shù)據(jù)會(huì)全面推動(dòng)數(shù)據(jù)的價(jià)值化進(jìn)程，大數(shù)據(jù)自身也會(huì)基于數(shù)據(jù)價(jià)值化，來(lái)打造一個(gè)龐大的價(jià)值空間，但是如果沒有安全作為保障，大數(shù)據(jù)必定走不遠(yuǎn)。

由于網(wǎng)絡(luò)安全與諸多技術(shù)體系都有聯(lián)系，所以涉及到的內(nèi)容也比較多，比如物聯(lián)網(wǎng)的設(shè)備層、網(wǎng)絡(luò)層、平臺(tái)層、數(shù)據(jù)層和應(yīng)用層都有相應(yīng)的安全要求，所以學(xué)習(xí)網(wǎng)絡(luò)安全往往需要一個(gè)系統(tǒng)的學(xué)習(xí)過(guò)程，學(xué)習(xí)難度也相對(duì)比較高。由于物聯(lián)網(wǎng)領(lǐng)域在5G時(shí)代的發(fā)展?jié)摿Ψ浅４?，而且物?lián)網(wǎng)作為一個(gè)重要的載體，能夠承載大數(shù)據(jù)、云計(jì)算和人工智能等一眾技術(shù)，所以向物聯(lián)網(wǎng)安全方向發(fā)展是一個(gè)不錯(cuò)的選擇。

從物聯(lián)網(wǎng)領(lǐng)域的安全人才需求情況來(lái)看，在行業(yè)應(yīng)用領(lǐng)域有大量的人才需求，這些崗位的從業(yè)門檻并不高，重點(diǎn)的工作內(nèi)容在于網(wǎng)絡(luò)安全方案的設(shè)計(jì)、部署和維護(hù)，比如各種防火墻設(shè)備的安全和調(diào)試等等，這些內(nèi)容經(jīng)過(guò)一個(gè)系統(tǒng)的學(xué)習(xí)過(guò)程，通常都能夠順利掌握，重點(diǎn)在于一定要多做實(shí)驗(yàn)。

網(wǎng)絡(luò)安全再進(jìn)一步細(xì)分，還可以劃分為：網(wǎng)絡(luò)滲透、逆向分析、漏洞攻擊、內(nèi)核安全、移動(dòng)安全、破解PWN等眾多子方向。今天的這篇，主要是針對(duì)網(wǎng)絡(luò)滲透方向，其他方向僅供參考，學(xué)習(xí)路線并不完全一樣，有機(jī)會(huì)的話我再單獨(dú)梳理。

如何入門學(xué)習(xí)網(wǎng)絡(luò)安全

學(xué)習(xí)網(wǎng)絡(luò)安全需要具有一個(gè)扎實(shí)的計(jì)算機(jī)基礎(chǔ)知識(shí)和網(wǎng)絡(luò)基礎(chǔ)知識(shí)，如果未來(lái)要從事網(wǎng)絡(luò)安全領(lǐng)域的研發(fā)崗位，還需要具有一個(gè)扎實(shí)的數(shù)學(xué)基礎(chǔ)。由于整體的知識(shí)量非常大，所以學(xué)習(xí)網(wǎng)絡(luò)安全首先應(yīng)該有一個(gè)自己的學(xué)習(xí)切入點(diǎn)，對(duì)于動(dòng)手能力比較強(qiáng)的人來(lái)說(shuō)，可以從網(wǎng)絡(luò)基礎(chǔ)知識(shí)開始學(xué)起，然后逐漸了解各種網(wǎng)絡(luò)安全設(shè)備的相關(guān)知識(shí)。

路線圖

先來(lái)看一張整體的路線圖，初步了解下這個(gè)方向需要學(xué)習(xí)的知識(shí)有哪些

我一共劃分了六個(gè)階段，但并不是說(shuō)你得學(xué)完全部才能上手工作，對(duì)于一些初級(jí)崗位，學(xué)到第三四個(gè)階段就足矣。

來(lái)吧，話不多說(shuō)，一起學(xué)起來(lái)，見證從青銅變身王者的旅程！

黑鐵（練氣期）

第一個(gè)階段——石器時(shí)代，針對(duì)的是純新手小白剛剛?cè)雸?chǎng)。在這個(gè)階段，主要是打基礎(chǔ)，需要學(xué)習(xí)的有五部分內(nèi)容：

Windows
Windows上基礎(chǔ)的一些命令、PowerShell的使用和簡(jiǎn)單腳本編寫，以及Windows以后經(jīng)常會(huì)打交道的幾個(gè)重要組件的使用：注冊(cè)表、組策略管理器、任務(wù)管理器、事件查看器等。

除此之外，學(xué)習(xí)在Windows上面搭建虛擬機(jī)，學(xué)會(huì)安裝系統(tǒng)，為接下來(lái)學(xué)習(xí)Linux做準(zhǔn)備工作。

Linux
網(wǎng)絡(luò)安全，必然要與Linux經(jīng)常打交道，我看到很多新人一上來(lái)就跟著一些培訓(xùn)班學(xué)習(xí)Kali，學(xué)的云里霧里的。連基本的Linux概念都沒建立起來(lái)，就急著學(xué)Kali，這屬于還沒學(xué)會(huì)走路就去學(xué)跑步，本末倒置了。
?

在基礎(chǔ)階段，主要以使用為主，學(xué)習(xí)文本編輯、文件、網(wǎng)絡(luò)、權(quán)限、磁盤、用戶等相關(guān)的命令，對(duì)Linux有一個(gè)基本的認(rèn)知。

計(jì)算機(jī)網(wǎng)絡(luò)

網(wǎng)絡(luò)安全，計(jì)算機(jī)網(wǎng)絡(luò)肯定是非常重要的存在。作為基礎(chǔ)階段，這一小節(jié)主要從宏觀上學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)，而不是死扣某一個(gè)協(xié)議的某些字段意義。

首先從局域網(wǎng)出發(fā)，了解計(jì)算機(jī)通信的基本網(wǎng)絡(luò)——以太網(wǎng)，局域網(wǎng)內(nèi)是如何通信的？集線器、交換機(jī)有什么區(qū)別？MAC地址、IP地址、子網(wǎng)、子網(wǎng)掩碼分別是做什么用的？

?

隨后引出更大的廣域網(wǎng)、互聯(lián)網(wǎng)，什么是網(wǎng)絡(luò)通信協(xié)議，通信協(xié)議分層的問(wèn)題，通過(guò)七層和四層模型快速建立起計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)概念，各層協(xié)議的作用，分別有哪些協(xié)議，這些協(xié)議在當(dāng)今的互聯(lián)網(wǎng)中具體是怎么應(yīng)用的。

Web基礎(chǔ)

網(wǎng)絡(luò)滲透中非常重要的一個(gè)組成部分就是Web安全，要學(xué)習(xí)Web安全，得先從Web前端基礎(chǔ)開始入手。

這一小節(jié)非常簡(jiǎn)單，就是學(xué)習(xí)最原始的Web前端三板斧：HTML+CSS+JS的開發(fā)使用，為將來(lái)學(xué)習(xí)Web相關(guān)的安全知識(shí)打下基礎(chǔ)。
?

這一小節(jié)是相對(duì)偏實(shí)際動(dòng)手多一些，需要自己多動(dòng)手進(jìn)行一些網(wǎng)頁(yè)編程，尤其是JavaScript的熟悉掌握，了解Ajax是什么東西，常用的jQuery庫(kù)也學(xué)習(xí)一下，這都是Web前端中非?；A(chǔ)和常用的內(nèi)容。

數(shù)據(jù)庫(kù)基礎(chǔ)

基礎(chǔ)階段的最后一部分，可以來(lái)接觸一些數(shù)據(jù)庫(kù)的基礎(chǔ)知識(shí)了。

這個(gè)階段主要學(xué)一些理論知識(shí)，重點(diǎn)掌握庫(kù)、表、索引等概念，然后學(xué)習(xí)SQL的編寫，學(xué)會(huì)增刪改查數(shù)據(jù)。暫時(shí)不用編程來(lái)操作數(shù)據(jù)庫(kù)。

青銅（筑基期）

度過(guò)了石器時(shí)代，你已經(jīng)儲(chǔ)備了一些計(jì)算機(jī)的基礎(chǔ)知識(shí)：操作系統(tǒng)的使用，網(wǎng)絡(luò)協(xié)議，前端基礎(chǔ)，數(shù)據(jù)庫(kù)初識(shí)，但這距離做網(wǎng)絡(luò)安全還不夠，在第二個(gè)青銅階段，你還需要再進(jìn)一步學(xué)習(xí)基礎(chǔ)，在第一階段之上，難度會(huì)開始慢慢上升。

這一階段需要學(xué)習(xí)的知識(shí)有：

Web進(jìn)階

在前面的石器時(shí)代，咱們初步接觸了網(wǎng)頁(yè)編程，了解了網(wǎng)頁(yè)的基本原理。不過(guò)那時(shí)候是純前端的，純靜態(tài)的網(wǎng)頁(yè)，沒有接觸后端。在這個(gè)進(jìn)階的階段，你要開始接觸Web后端的內(nèi)容了。

首先從常用的兩大主流Web服務(wù)器出發(fā)，學(xué)習(xí)Apache和Linux的基本知識(shí)，隨后引出動(dòng)態(tài)網(wǎng)頁(yè)的基本原理，從CGI/Fast-CGI過(guò)渡到后來(lái)的ASP/PHP/ASPX/JSP等動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)，了解它們的發(fā)展歷史，演變過(guò)程和基礎(chǔ)的工作原理。

最后再學(xué)習(xí)一些Web開發(fā)中的基礎(chǔ)知識(shí)：表單的操作、Session/Cookie、JWT、LocalStorage等等，了解這些基本的術(shù)語(yǔ)都是什么意思，做什么用，解決了什么。

PHP編程

學(xué)習(xí)Web后端開發(fā)，得搭配學(xué)習(xí)一個(gè)后端開發(fā)語(yǔ)言才行。在這一小節(jié)，選擇從PHP入手。

不過(guò)要記住，這里選擇PHP不是讓你以后從事PHP的后端開發(fā)，也不是說(shuō)PHP現(xiàn)在有多流行，而是特定歷史背景下，PHP相關(guān)的網(wǎng)站安全問(wèn)題非常具有代表性，選擇這門語(yǔ)言更方便我們研究安全問(wèn)題。

由于學(xué)習(xí)的目的不同，所以在學(xué)習(xí)方法上和普通的后端開發(fā)就有所不同了。在這里咱們學(xué)習(xí)一下語(yǔ)法基礎(chǔ)，基本的后端請(qǐng)求處理，數(shù)據(jù)庫(kù)訪問(wèn)，然后再接觸一下常用的ThinkPHP框架即可，當(dāng)然如果你有興趣，學(xué)的更深入當(dāng)然更好。

計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)階

第二階段需要再充實(shí)一下計(jì)算機(jī)網(wǎng)絡(luò)的學(xué)習(xí)。這一次，重點(diǎn)把精力放在HTTP/HTTPS以及抓包分析之上。

Linux上的tcpdump必須掌握，包括常見的參數(shù)配置。然后重點(diǎn)學(xué)習(xí)Wireshark分析數(shù)據(jù)包，用Fiddler抓取分析加密的HTTPS流量。

通過(guò)在抓包軟件下查看通信流量，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的認(rèn)識(shí)從抽象變得具象。

加解密技術(shù)

接著，來(lái)了解一些網(wǎng)絡(luò)安全領(lǐng)域內(nèi)經(jīng)常打交道的編解碼技術(shù)和加解密技術(shù)。包括base64編碼、對(duì)稱加密、非對(duì)稱加密、哈希技術(shù)等等。

?

了解它們基礎(chǔ)的概念、做什么用的，解決什么問(wèn)題，最后再了解下工作原理。

推薦書籍：《加密與解密》

白銀（結(jié)丹期）

現(xiàn)在進(jìn)入第三個(gè)階段——白銀時(shí)代，激動(dòng)人心的時(shí)刻就要到來(lái)了，在這個(gè)階段，我們開始全面學(xué)習(xí)真正的網(wǎng)絡(luò)安全技術(shù)了，前面兩個(gè)階段打下的基礎(chǔ)，在這個(gè)階段，也將派上用場(chǎng)。

這一階段需要學(xué)習(xí)的知識(shí)有：

Web安全入門

有了前面的Web前端和PHP編程的基礎(chǔ)，可以來(lái)正式學(xué)習(xí)Web安全了。Web安全領(lǐng)域內(nèi)幾大典型的攻擊手法：SQL注入、XSS、CSRF、各種注入、SSRF、文件上傳漏洞等等，每一個(gè)都需要詳細(xì)學(xué)習(xí)，一邊學(xué)習(xí)理論，一邊動(dòng)手實(shí)踐。

千萬(wàn)注意別拿互聯(lián)網(wǎng)上的網(wǎng)站來(lái)攻擊學(xué)習(xí)，這是違法的行為。自己可以在虛擬機(jī)中搭建一些包含漏洞的網(wǎng)站（網(wǎng)絡(luò)上有很多可以下載來(lái)玩），拿自己建的網(wǎng)站練手。

網(wǎng)絡(luò)掃描與注入

前面學(xué)習(xí)了一些Web安全的攻擊手法，但光有這些還不夠，當(dāng)我們面對(duì)攻擊目標(biāo)后，如何尋找攻擊點(diǎn)，獲取目標(biāo)的信息至關(guān)重要。

這些信息包括：目標(biāo)運(yùn)行了什么操作系統(tǒng)，開放了哪些端口，運(yùn)行了哪些服務(wù)，后端服務(wù)是什么類型，版本信息是什么等等，有哪些漏洞可以利用，只有獲取到了這些信息，才能有針對(duì)性的制定攻擊手段，拿下目標(biāo)。

常見的網(wǎng)絡(luò)信息掃描包括端口掃描、網(wǎng)站后臺(tái)掃描、漏洞掃描等等。需要學(xué)習(xí)常用的掃描工具以及它們的工作原理。

信息搜集 & 社會(huì)工程學(xué)

除了上面需要掃描的信息，在網(wǎng)絡(luò)安全中，經(jīng)常還需要調(diào)研很多信息，比如網(wǎng)站的注冊(cè)信息、相關(guān)聯(lián)的人物、網(wǎng)站內(nèi)部的內(nèi)容檢索等等。這就需要學(xué)習(xí)掌握信息搜集和社會(huì)工程學(xué)的相關(guān)技術(shù)。

?whois信息用來(lái)查詢域名信息，shodan、zoomeye、fofa等網(wǎng)絡(luò)空間搜索引擎檢索IP、域名、URL等背后的信息，Google Hacking利用搜索引擎來(lái)檢索網(wǎng)站內(nèi)部信息，這些東西都是在網(wǎng)絡(luò)信息搜集中經(jīng)常用到的技能。

暴力破解

在網(wǎng)絡(luò)攻擊中，當(dāng)掃描到目標(biāo)開放的服務(wù)后，最直接的就是想要登錄進(jìn)去。常見的服務(wù)有SSH、RDP、MySQL、Redis、Web表單等等。

這個(gè)時(shí)候，暴力破解通常會(huì)派上用場(chǎng)，通過(guò)使用各種服務(wù)常見用戶名密碼組成的字典，通過(guò)程序暴力破解。

常用的爆破工具有hydra、超級(jí)弱口令，另外還有一個(gè)mimikatz，常用來(lái)獲取Windows系統(tǒng)的密碼。

黃金（元嬰期）

上一個(gè)階段，學(xué)習(xí)了一些安全攻擊技術(shù)，在這一個(gè)階段，需要學(xué)習(xí)一下安全防御和安全檢測(cè)技術(shù)，安全具有攻防兩面性，缺一不可。

WAF技術(shù)

首先要學(xué)習(xí)的就是WAF——Web應(yīng)用防火墻。

Web安全學(xué)習(xí)的是通過(guò)Web技術(shù)攻擊計(jì)算機(jī)系統(tǒng)，WAF就是檢測(cè)和防御這些安全攻擊。正所謂知己知彼才能百戰(zhàn)百勝，作為攻方，要掌握WAF的工作原理，找到弱點(diǎn)繞過(guò)檢測(cè)，作為守方，需要不斷加強(qiáng)安全檢測(cè)和防御能力，有效的發(fā)現(xiàn)和抵御Web攻擊。

需要學(xué)習(xí)當(dāng)下主流的WAF軟件所采用的架構(gòu)比如openresty、modsecurity，以及主要的幾種檢測(cè)算法：基于特征的、基于行為的、基于機(jī)器學(xué)習(xí)的等等。

網(wǎng)絡(luò)協(xié)議攻擊 & 入侵檢測(cè)

WAF主要針對(duì)的是Web相關(guān)的安全攻擊，到這一小節(jié)，將視野進(jìn)一步拓展到整個(gè)網(wǎng)絡(luò)協(xié)議棧，TCP劫持、DNS劫持、DDoS攻擊、DNS隧道、ARP欺騙、ARP泛洪等等，需要掌握這些傳統(tǒng)經(jīng)典攻擊手段的原理，搭建環(huán)境實(shí)踐，為后續(xù)的內(nèi)網(wǎng)滲透打下基礎(chǔ)。

另外作為防守的一方，還需要學(xué)習(xí)通過(guò)網(wǎng)絡(luò)流量分析技術(shù)來(lái)進(jìn)行安全檢測(cè)，了解常用的網(wǎng)絡(luò)分析技術(shù)，檢測(cè)框架，規(guī)則語(yǔ)法，對(duì)以后從事安全相關(guān)開發(fā)或安全防御工作進(jìn)行儲(chǔ)備。

日志技術(shù)

通過(guò)日志來(lái)發(fā)現(xiàn)攻擊行為是一種最常見的行為，攻擊者的Web請(qǐng)求，系統(tǒng)登錄，暴力破解嘗試等等都會(huì)被系統(tǒng)各種軟件記錄在案，攻擊者得手后也經(jīng)常會(huì)抹除相關(guān)的日志記錄，所以學(xué)習(xí)掌握這些日志，是攻防兩隊(duì)的人都需要學(xué)習(xí)的技能。

常見的日志有系統(tǒng)登錄日志（Windows、Linux）、Web服務(wù)器日志、數(shù)據(jù)庫(kù)日志等等。

Python編程

在這個(gè)階段，是時(shí)候來(lái)學(xué)習(xí)一些Python編程開發(fā)了。雖然網(wǎng)絡(luò)安全不用經(jīng)常做大量的工程開發(fā)，但掌握基本的編程能力，可以用來(lái)編寫爬蟲、數(shù)據(jù)處理、網(wǎng)絡(luò)掃描工具、漏洞POC等等，都是非常有用的，而眾多編程語(yǔ)言中，Python無(wú)疑是最適合的。

瀏覽器安全

這個(gè)階段的最后一部分，來(lái)學(xué)習(xí)了解一些瀏覽器側(cè)的安全知識(shí)，夯實(shí)Web安全中與瀏覽器相關(guān)的漏洞攻擊。

需要重點(diǎn)掌握IE、Chrome兩款最主流的瀏覽器特性，瀏覽器的沙盒機(jī)制是什么，同源策略和跨域技術(shù)等等。

鉑金（化神期）

第三方組件漏洞

前面Web安全相關(guān)的攻擊都是一些很多年的經(jīng)典手法了，經(jīng)過(guò)多年的發(fā)展已經(jīng)相當(dāng)成熟，相關(guān)的漏洞早已不如以前多，現(xiàn)在很多時(shí)候的攻擊，都是依靠各種各樣的第三方組件漏洞完成的，所以學(xué)習(xí)研究這些常見第三方組件的漏洞，一方面掌握這些攻擊手法用于實(shí)戰(zhàn)中使用，另一方面觸類旁通，對(duì)從事漏洞挖掘的工作也是非常有幫助的。

研究的對(duì)象主要涵蓋目前互聯(lián)網(wǎng)服務(wù)中實(shí)際使用的一些工程組件，比如Java技術(shù)棧系列Spring全家桶、SSM、Redis、MySQL、Nginx、Tomcat、Docker等等。

內(nèi)網(wǎng)滲透

網(wǎng)絡(luò)滲透中，攻下一個(gè)點(diǎn)后，只是一個(gè)開始，攻入以后如何轉(zhuǎn)移，控制更多的節(jié)點(diǎn)，是內(nèi)網(wǎng)滲透研究學(xué)習(xí)的范疇。典型的如當(dāng)年的永恒之藍(lán)病毒，通過(guò)SMB協(xié)議漏洞，快速擴(kuò)散傳播，造成了大面積的中招。

?

內(nèi)網(wǎng)滲透中要學(xué)的東西既多且雜，難度要上升不少，但這是做網(wǎng)絡(luò)滲透的非常重要的一塊兒，必須多啃一啃。這一部分理論較少，偏實(shí)戰(zhàn)性多一些，需要多搭建環(huán)境模擬學(xué)習(xí)。

操作系統(tǒng)安全技術(shù) & 提權(quán)技術(shù) & 虛擬化技術(shù)
通過(guò)web等手段滲透進(jìn)入計(jì)算機(jī)后，由于各種限制原因，經(jīng)常會(huì)有提權(quán)的需求，還會(huì)涉及到許多跟操作系統(tǒng)安全機(jī)制緊密相關(guān)的內(nèi)容，所以學(xué)習(xí)一些操作系統(tǒng)的安全知識(shí)也是非常有必要的。

像Windows、Linux上各自的權(quán)限管理機(jī)制，提權(quán)方法和常用的漏洞，工具等等。

最后，再學(xué)習(xí)一些虛擬化技術(shù)相關(guān)的知識(shí)，應(yīng)對(duì)可能需要從虛擬機(jī)中逃逸的場(chǎng)景。

王者（飛升?。?/h5>

CobalStrike & MetaSploit

搞網(wǎng)絡(luò)滲透，這兩個(gè)神器是絕對(duì)少不了的。前面學(xué)習(xí)的信息掃描、漏洞攻擊、內(nèi)網(wǎng)滲透、木馬植入、端口反彈等等各種技術(shù)，都可以通過(guò)這兩個(gè)神器進(jìn)行綜合運(yùn)用，融會(huì)貫通。同時(shí)，這兩個(gè)也是各大黑客團(tuán)隊(duì)經(jīng)常使用的工具軟件。

學(xué)習(xí)使用這兩個(gè)神器，將大大提升攻擊效率，是網(wǎng)絡(luò)滲透人員居家旅行必備之選！

其他安全技術(shù)拓展

到了網(wǎng)絡(luò)滲透的后期階段，想成為一個(gè)安全高手，絕不只是固步自封在自己擅長(zhǎng)的領(lǐng)域，需要多學(xué)習(xí)網(wǎng)絡(luò)安全的其他領(lǐng)域，拓展自己的知識(shí)面。

比如二進(jìn)制漏洞攻擊、逆向工程、木馬技術(shù)、內(nèi)核安全、移動(dòng)安全、側(cè)信道攻擊等等，當(dāng)然在學(xué)習(xí)的時(shí)候，不用像專業(yè)方向的同學(xué)那么深入，但需要涉獵了解，豐富自己的知識(shí)面，構(gòu)建全方位的網(wǎng)路安全知識(shí)技能棧。

學(xué)習(xí)資源分享

如果你想真正在網(wǎng)絡(luò)安全這個(gè)行業(yè)深耕下去，簡(jiǎn)單列舉一下書單中的內(nèi)容，如果大家有什么比較好的想法，歡迎評(píng)論區(qū)交流！

計(jì)算機(jī)及系統(tǒng)原理

《編碼：隱匿在計(jì)算機(jī)軟硬件背后的語(yǔ)言》 【美】Charles Petzold·
《深入理解計(jì)算機(jī)系統(tǒng)》【美】Randal E.Bryant·
《深入理解Windows操作系統(tǒng)》【美】Russinovich,M.E.；Solomon,D.A.·
《Linux內(nèi)核設(shè)計(jì)與實(shí)現(xiàn)》【美】Robert Love·
《深入理解Android內(nèi)核設(shè)計(jì)思想》林學(xué)森·
《Android系統(tǒng)源代碼情景分析》羅升陽(yáng)·
《深入理解Mac OS X & iOS操作系統(tǒng)》【美】Jonathan Levin·
《深入理解Linux內(nèi)核》 【美】DanielP.Bovet·
《代碼揭秘：從C/C++的角度探秘計(jì)算機(jī)系統(tǒng)》左飛·
《Android Dalvik虛擬機(jī)結(jié)構(gòu)及機(jī)制剖析（第1、2卷）》吳艷霞；張國(guó)印·
《Android Internals::Power User’s View》【美】Jonathan Levin，中譯本
《最強(qiáng)Android書：架構(gòu)大剖析》

編程開發(fā)
系統(tǒng)平臺(tái)
Windows
《Windows程序設(shè)計(jì)》【美】Charles Petzold·
《Windows核心編程》【美】Jeffrey Richter·
《Windows環(huán)境下32位匯編語(yǔ)言程序設(shè)計(jì)》羅云彬·
《Windows驅(qū)動(dòng)開發(fā)技術(shù)詳解》張帆

Linux/Unix
《UNIX環(huán)境高級(jí)編程》【美】W.Richard Stevens；Stephen A.Rago·
《Linux程序設(shè)計(jì)》【美】Neil Matthew；Richard Stones·
《Linux設(shè)備驅(qū)動(dòng)程序》【美】Jonathan Corbet；Alessandro Rubini；Gerg Kroah-Hartman

macOS/iOS
· 《iOS編程》【美】Christian Keur；Aaron Hillegass
· 《OS X與iOS內(nèi)核編程）【澳】Halvorsen,O.H.；Clarke,D

Android
· 《第一行代碼——Android》郭霖
· 《Android編程權(quán)威指南》【美】Brian Hardy；BillPhillips

編程語(yǔ)言C
《C語(yǔ)言程序設(shè)計(jì)》【美】Brian W.Kernighan；Dennis M.Ritchie·
《C Primer Plus》【美】Stephen Prata，入門書籍·
《C和指針》【美】Kenneth A.Reek·
《C陷阱與缺陷》【美】Andrew Koenig·
《C專家編程》【美】Peter van der Linden

C++
· 《C++ Primer Plus》【美】Stephen Prata，入門書籍
· 《C++ Primer》【美】Stanley B.Lippman；Josée Lajoie；Barbara E.Moo，進(jìn)階書籍

ASM
· 《Intel匯編語(yǔ)言程序設(shè)計(jì)》【美】Kip Irvine
· 《Intel開發(fā)手冊(cè)》
· 《匯編語(yǔ)言（第3版）》王爽
· 《x86匯編語(yǔ)言：從實(shí)模式到保護(hù)模式》李忠

Java
· 《Java核心技術(shù)》【美】Cay S.Horstmann；Gary Cornell，入門書籍
· 《Java 編程思想》【美】Bruce eckel，進(jìn)階書籍

JavaScript
· 《JavaScript DOM編程藝術(shù)》【美】Jeremy Keith；【加】Jeffrey Sambells
· 《JavaScript高級(jí)程序設(shè)計(jì)》【美】Zakas.Bicholas C.
· 《Vue.js項(xiàng)目開發(fā)實(shí)戰(zhàn)》張帆

Python
· 《Python核心編程（第2版）》【美】Wesley J·Chun

Shell
· 《Linux Shell腳本攻略》【印】Sarath Lakshman

調(diào)試技術(shù)
· 《軟件調(diào)試》張銀奎
· 《Debug Hacks》【日】吉岡弘??；大和一洋；大巖尚宏；安部東洋；吉田俊輔
· 《格蠹匯編：軟件調(diào)試案例錦集》張銀奎

數(shù)據(jù)結(jié)構(gòu)與算法
《數(shù)據(jù)結(jié)構(gòu)與算法分析——C語(yǔ)言描述》【美】Mark Allen Weiss·
《算法導(dǎo)論》【美】Thomas H.Cormen；Chales E.Leiserson；Ronald l.Rivest·
《我的第一本算法書》【日】宮崎修一；石田保輝，入門書籍，無(wú)代碼進(jìn)行圖解·
《算法圖解：像小說(shuō)一樣有趣的算法入門書》【美】Aditya Bhargava

編譯原理
· 《編譯系統(tǒng)透視：圖解編譯原理》新設(shè)計(jì)團(tuán)隊(duì)，入門書籍
· 《編譯原理》（龍書）【美】Alfered V.Aho；Monica S.Lam；Ravi Sehi；Jeffrey D.Ullmam
· 《編譯與反編譯技術(shù)實(shí)戰(zhàn)》龐建民

其他
· 《編程高手箴言》梁肇新
· 《代碼整潔之道》【美】Robert C.Martin
· 《代碼大全》【美】Steve McConnell
· 《重構(gòu)：改善既有代碼的設(shè)計(jì)》【美】Martin Fowler

網(wǎng)絡(luò)技術(shù)
· 《TCP/IP詳解（卷1：協(xié)議）》【美】Kevin R.fall；W.Richard Stevens
· 《Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn)》【美】Chris Sanders

安全技術(shù)
安全開發(fā)
《天書夜讀：從匯編語(yǔ)言到Windows內(nèi)核編程》譚文；邵堅(jiān)磊·
《Rootkit：系統(tǒng)灰色地帶的潛伏者》【美】Bill Blunden·
《Rootkits——Windows內(nèi)核的安全防護(hù)》【美】Gerg Hoglund；James Butler·
《BSD ROOTKIT設(shè)計(jì)——內(nèi)核黑客指引書》【美】Joseph Kong·
《寒江獨(dú)釣：Windows內(nèi)核安全編程》譚文；楊瀟；邵堅(jiān)磊

逆向工程
《加密與解密》段鋼·
《惡意軟件分析訣竅與工具箱——對(duì)抗“流氓”軟件的技術(shù)與利器》【美】Michael Hale Ligh；Steven Adair· 《C++反匯編與逆向分析技術(shù)揭秘》錢林松；趙海旭·
《IDA權(quán)威指南》【美】Chris Eagle·
《逆向工程權(quán)威指南》【烏克蘭】Dennis Yurichev，多平臺(tái)入門大全·
《Android軟件安全與逆向分析》豐生強(qiáng)·
《macOS軟件安全與逆向分析》豐生強(qiáng)·
《iOS應(yīng)用逆向工程（第2版）》沙梓社；吳航

Web安全
《黑客攻防技術(shù)寶典：Web實(shí)戰(zhàn)篇》【美】Marcus Pinto，Dafydd Stuttard·
《白帽子講Web安全》吳翰清·
《Web安全測(cè)試》【美】Paco Hope；Ben Waltber·
《Web前端黑客技術(shù)揭秘》鐘晨鳴；徐少培·
《精通腳本黑客》曾云好

軟件/系統(tǒng)安全
《0day安全：軟件漏洞分析技術(shù)（第2版）》王清，入門書籍·
《漏洞戰(zhàn)爭(zhēng)：軟件漏洞分析精要》林椏泉，進(jìn)階書籍·
《捉蟲日記》【德】Tobias Klein，進(jìn)階書籍·
《黑客防線2009緩沖區(qū)溢出攻擊與防范專輯》·
《內(nèi)核漏洞的利用與防范》【美】Enrico Perla；Massimiliano Oldani·
《Fuzzing for Software Security Testing and Quality Assurance（第2版）》【美】Charlie Miller，博文視點(diǎn)翻譯中·
《iOS Hackers’s Handbook》【美】Charlie Miller，不推薦中文版·
《The Mac Hacker’s Handbook》【美】Charlie Miller·
《Android安全攻防權(quán)威指南》【美】Joshua J.Drake；【西】Pau Oliva Fora；【美】Collin Mulliner·
《The Art of Softwar Security Assessment:Identifying and Preventing Software Vulnerabilities》【美】Mark Dowd·
《Android Security Cookbook》【美】Keith Makan; Scott Alexander-Bown，中譯本
《Android安全攻防實(shí)戰(zhàn)》·
《模糊測(cè)試-強(qiáng)制性安全漏洞挖掘》【美】Michael Mutton·
《Exploit編寫系列教程》【美】Corelan Team·
《MacOS and iOS Internals,Volume Ⅲ: Security & Insecurity》【美】Jonathan Levin，博文視點(diǎn)翻譯中·
《灰帽黑客：正義黑客的道德規(guī)范、滲透測(cè)試、攻擊方法和漏洞分析技術(shù)》【美】Allen Harper；Shon harris· 《威脅建模：設(shè)計(jì)和交付更安全的軟件》【美】Adam Shostack

無(wú)線電安全
《無(wú)線電安全攻防大揭秘》楊卿；黃琳

硬件安全
《硬件安全攻防大揭秘》簡(jiǎn)云定，楊卿

汽車安全
《智能汽車安全攻防大揭秘》李均；楊卿· 《汽車黑客大曝光》【美】Craig Smith

運(yùn)維
《Docker技術(shù)入門與實(shí)戰(zhàn)》楊保華；戴王劍；曹亞侖·
《鳥哥的Linux私房菜》鳥哥

大部分網(wǎng)絡(luò)安全學(xué)習(xí)技術(shù)資料已經(jīng)為大家搜集整理好了，因篇幅有限，僅展示部分資料，需要點(diǎn)擊下方鏈接即可前往獲取

CSDN大禮包：《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》免費(fèi)分享文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-450024.html

到了這里，關(guān)于全網(wǎng)最全的網(wǎng)絡(luò)安全技術(shù)棧內(nèi)容梳理（持續(xù)更新中）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！