入門 Web 安全、安卓安全、二進(jìn)制安全、工控安全還是智能硬件安全等等，每個不同的領(lǐng)域要掌握的技能也不同。當(dāng)然入門 Web 安全相對難度較低，也是很多人的首選。主要還是看自己的興趣方向吧。

本文就以下幾個問題來說明網(wǎng)絡(luò)安全大致學(xué)習(xí)過程??

1. 網(wǎng)絡(luò)安全主要崗位有哪些

2. 安全領(lǐng)域技術(shù)方向分類

3. 滲透測試學(xué)習(xí)路線

4. 小白如何快速入門

一、網(wǎng)絡(luò)安全里的主要的崗位有哪些：

滲透測試工程師：主要是模擬黑客對目標(biāo)業(yè)務(wù)系統(tǒng)進(jìn)行攻擊，點到為止

安全運維工程師：一個單位買了那么多安全產(chǎn)品，肯定要有人做運維的，分析一下日志，升級一下策略。定期檢查一下業(yè)務(wù)系統(tǒng)的安全性，查看一下內(nèi)網(wǎng)當(dāng)中有沒有威脅，這都是安全運維工程師要做的內(nèi)容

應(yīng)急響應(yīng)工程師：客戶業(yè)務(wù)系統(tǒng)被攻擊，要快速定位安全問題，要快速恢復(fù)業(yè)務(wù)系統(tǒng)，有的甚至還要取證報警。（家里如果被偷東西價值太大，你還不報警？心咋這么大）

等級保護(hù)測評師：按照國家要求，重要的業(yè)務(wù)系統(tǒng)需要按照安全等級進(jìn)行保護(hù)的，目前國家已經(jīng)發(fā)布了等級保護(hù) 2.0 標(biāo)準(zhǔn)，要按照這個標(biāo)準(zhǔn)進(jìn)行建設(shè)。等級保護(hù)測評師的工作就是協(xié)助客戶檢查一下業(yè)務(wù)系統(tǒng)是否滿足等級保護(hù)的要求，不滿足的趕緊整改

安全開發(fā)工程師：嗯，就是搞開發(fā)，要對安全也要了解，比如開發(fā)一個 web 應(yīng)用防火墻，連 web 攻擊都不懂，那還開發(fā)個啥，閉門造車啊，能防的注嗎？

售后工程師：安全產(chǎn)品的售后服務(wù)工作，包括安全產(chǎn)品的交付實施、售后支撐、產(chǎn)品調(diào)試上架。比如客戶買了咱們的防火墻，咱們要派人去安裝調(diào)試吧，總不能讓客戶自己去安裝吧。這是產(chǎn)品工程師或者售后工程師的主要工作內(nèi)容。

售前工程師：主要是協(xié)助銷售完成跟單，說的通俗易懂一點就是跟銷售配合，一個做商務(wù)關(guān)系（吃吃喝喝、送禮請客）一個做技術(shù)方案（解決客戶的痛點），兩個人配合拿下項目

安全服務(wù)工程師：好多企業(yè)把滲透測試工程師也歸到安全服務(wù)工程師里面，無傷大雅。不懂安全服務(wù)，還不懂吃飯的服務(wù)員嘛，就是協(xié)助客戶做好安全工作，具體的內(nèi)容比如常見的漏洞掃描、基線檢測、滲透測試、網(wǎng)絡(luò)架構(gòu)梳理、風(fēng)險評估等工作內(nèi)容。安全服務(wù)的面很大的，幾乎涵蓋了上述所有崗位的內(nèi)容

二、而在這個安全領(lǐng)域中，主要有以下兩大技術(shù)方向：

• 網(wǎng)絡(luò)滲透方向

• 二進(jìn)制安全方向

網(wǎng)絡(luò)滲透方向

這個方向更符合于大部分人對“黑客”的認(rèn)知，他們能夠黑手機(jī)、黑電腦、黑網(wǎng)站、黑服務(wù)器、黑內(nèi)網(wǎng)，萬物皆可黑（當(dāng)然是要有授權(quán)的，不然進(jìn)橘子我可不管）

這個方向初期比較容易入門一些，掌握一些基本技術(shù)，拿起各種現(xiàn)成的工具就可以開黑了。

不過，要想從腳本小子變成黑客大神，這個方向越往后，需要學(xué)習(xí)和掌握的東西就會越來越多

插播一個初級入門 Web 安全訓(xùn)練營，目的是了解 Web 安全的基礎(chǔ)工具應(yīng)用，如果是大佬，請繞行。全部視頻都是實操教學(xué)，并且每節(jié)課程都配備了相對應(yīng)的靶場，零基礎(chǔ)在學(xué)習(xí)完理論知識以后去靶場練習(xí)，在實戰(zhàn)中驗證理論、拓展學(xué)習(xí)。點擊初級入門Web安全訓(xùn)練營就可以免費獲得

二進(jìn)制安全方向

這個方向主要涉及到軟件漏洞挖掘、逆向工程、病毒木馬分析等工作，涉及操作系統(tǒng)內(nèi)核分析、調(diào)試與反調(diào)試、反病毒等技術(shù)。因為經(jīng)常都是與二進(jìn)制的數(shù)據(jù)打交道，所以久而久之用二進(jìn)制安全來統(tǒng)稱這個方向。

這個方向的特點是：需要耐得住寂寞。比不上網(wǎng)絡(luò)滲透方向聽起來的狂拽炫酷，這個方向更多時間是在默默的分析和研究。

以漏洞挖掘為例，光是學(xué)習(xí)五花八門的攻擊手法就需要花不少的時間。在這個領(lǐng)域，為了研究一個問題，可能花費數(shù)月甚至數(shù)年時間，這絕非一般人能堅持下來的。不僅如此，不是勤奮就可以成功，更多還要靠天分。

像騰訊幾大安全實驗室的掌門人，業(yè)界知名的 TK 教主、吳石這些人物，他們已經(jīng)深諳漏洞挖掘的奧義，并將這門絕技融會貫通，做個夢都能想到新的玩法。不過像這樣的天才實在是少之又少，絕大多數(shù)人都無法企及。

如果說程序員是苦逼的話，那二進(jìn)制安全研究就是苦逼 Plus

目前市面上最火的就是滲透工程師，也是很多人夢寐以求的。接下來我就以滲透工程師來說一下具體的學(xué)習(xí)路線

三、滲透測試學(xué)習(xí)路線

一、基礎(chǔ)部分

基礎(chǔ)部分需要學(xué)習(xí)以下內(nèi)容：

1.計算機(jī)網(wǎng)絡(luò) ：

重點學(xué)習(xí) OSI、TCP/IP 模型，網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)設(shè)備工作原理等內(nèi)容，其他內(nèi)容快速通讀

2.Linux 系統(tǒng)及命令

由于目前市面上的 Web 服務(wù)器 7 成都是運行在 Linux 系統(tǒng)之上，如果要學(xué)習(xí)滲透 Web 系統(tǒng)，最起碼還是要對 linux 系統(tǒng)非常熟悉，常見的操作命令需要學(xué)會

學(xué)習(xí)建議：學(xué)習(xí)常見的 10%左右的命令適用于 90%的工作場景，和 office 軟件一樣，掌握最常用的 10%的功能，基本日常使用沒什么問題，遇到不會的，再去找度娘；常見的 linux 命令也就 50-60 個，很多小白囫圇吞棗什么命令都學(xué)，發(fā)現(xiàn)記不住?。。。?！這個學(xué)習(xí)方法也是不對的

3.Web 框架

熟悉 web 框架的內(nèi)容，前端 HTML，JS 等腳本語言了解即可，后端 PHP 語言重點學(xué)習(xí)，切記不要按照開發(fā)的思路去學(xué)習(xí)語言，php 最低要求會讀懂代碼即可，當(dāng)然會寫最好，但不是開發(fā)，但不是開發(fā)，但不是開發(fā)，重要的事情說三遍

4.數(shù)據(jù)庫

需要學(xué)習(xí) SQL 語法，利用常見的數(shù)據(jù)庫 MySQL 學(xué)習(xí)對應(yīng)的數(shù)據(jù)庫語法，也是一樣，SQL 的一些些高級語法可以了解，如果沒有時間完全不學(xué)也不影響后續(xù)學(xué)習(xí)，畢竟大家不是做數(shù)據(jù)庫分析師，不需要學(xué)太深

二、Web 安全

1.Web 滲透

掌握 OWASP 排名靠前的 10 余種常見的 Web 漏洞的原理、利用、防御等知識點，然后配以一定的靶場練習(xí)即可

推薦靶場：常見的靶場都可以上 github 平臺搜索，推薦以下靶場 DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等，有些是綜合靶場，有些是專門針對某款漏洞的靶場

2.安全工具學(xué)習(xí)

Web 透階段還是需要掌握一些必要的工具

主要要掌握的工具和平臺：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具 ssrs、hydra、medusa、airspoof 等，以上工具的練習(xí)完全可以利用上面的開源靶場去練習(xí)，足夠了

練習(xí)差不多了，可以去 SRC 平臺滲透真實的站點，看看是否有突破，如果涉及到需要繞過 WAF 的，需要針對繞 WAF 專門去學(xué)習(xí)，姿勢也不是特別多，系統(tǒng)性學(xué)習(xí)學(xué)習(xí)，然后多總結(jié)經(jīng)驗，更上一層樓

3.自動化滲透

自動化滲透需要掌握一門語言，且需要熟練運用，可以是任何一門自己已經(jīng)掌握得很熟悉得語言，都可以，如果沒有一門掌握很好的，那我推薦學(xué)習(xí) python，最主要原因是學(xué)起來簡單，模塊也比較多，寫一些腳本和工具非常方便

學(xué)習(xí) python 不需要掌握很多不需要的模塊，也不需要開發(fā)成千上萬行的代碼，僅利用它編寫一些工具和腳本，少則 10 幾行代碼，多則 1-200 行代碼，一般代碼量相對開發(fā)人員已經(jīng)少得不能再少了，例如一個精簡得域名爬蟲代碼核心代碼就 1-20 行而已

花幾天時間學(xué)習(xí)一下 python 的語法，有代碼基礎(chǔ)得朋友，最快可能一天就可以學(xué)習(xí)完 python 的語法，因為語言都是相通的，但是學(xué)習(xí)語言最快的就是寫代碼，別無他法；接下來可以開始嘗試寫一些常見得工具，如爬蟲、端口探測、數(shù)據(jù)包核心內(nèi)容提取、內(nèi)網(wǎng)活躍主機(jī)掃描等，此類代碼網(wǎng)上一搜一大把；然后再寫一些 POC 和 EXP 腳本，以靶場為練習(xí)即可；有的小伙伴可能又要問了，什么是 POC 和 EXP，自己度娘去，養(yǎng)成動手的好習(xí)慣

4.代碼審計

此處內(nèi)容要求代碼能力比較高，因此如果代碼能力較弱，可以先跳過此部分的學(xué)習(xí)，不影響滲透道路上的學(xué)習(xí)和發(fā)展。

但是如果希望在 Web 滲透上需要走得再遠(yuǎn)一些，需要精通一門后臺開發(fā)語言，推薦 php，因為后臺采用 php 開發(fā)的網(wǎng)站占據(jù)最大，當(dāng)然你還精通 python、asp、java 等語言，那恭喜你，你已經(jīng)具備很好的基礎(chǔ)了

代碼審計顧名思義，審計別人網(wǎng)站或者系統(tǒng)的源代碼，通過審計源代碼或者代碼環(huán)境的方式去審計系統(tǒng)是否存在漏洞（屬于白盒測試范疇）

那具體要怎么學(xué)習(xí)呢？學(xué)習(xí)的具體內(nèi)容按照順序列舉如下：

• 掌握 php 一些危險函數(shù)和安全配置

• 熟悉代碼審計的流程和方法

• 掌握 1-2 個代碼審計工具，如 seay 等

• 掌握常見的功能審計法；（推薦審計一下 AuditDemo，讓你產(chǎn)生自信）

• 常見 CMS 框架審計（難度大）

CMS 框架審計，可以去一些 CMS 官方網(wǎng)站，下載一些歷史存在漏洞的版本去審計，框架的學(xué)習(xí)利用官方網(wǎng)站的使用手冊即可，如 ThinkPHP3.2 版本是存在一些漏洞，可以嘗試讀懂代碼；但是切記不要一上來就看代碼，因為 CMS 框架的代碼量比較大，如果不系統(tǒng)先學(xué)習(xí)框架，基本屬于看不懂狀態(tài)；學(xué)習(xí)框架后能夠具備寫簡單的 POC，按照代碼審計方法結(jié)合工具一起審計框架；其實也沒有想想中的那么難，如果你是開發(fā)人員轉(zhuǎn)行的，恭喜你，你已經(jīng)具備代碼審計的先天性優(yōu)勢。那有的朋友又問了，我代碼很差，不學(xué)習(xí)代碼審計行不行，代碼審計不是學(xué)習(xí)網(wǎng)絡(luò)安全的必要條件，能夠掌握最好，掌握不了也不影響后續(xù)的學(xué)習(xí)和就業(yè)，但你需要選擇一個階段，練習(xí)得更專業(yè)精通一些，如 web 滲透或者內(nèi)網(wǎng)滲透，再或者是自動化滲透

三、內(nèi)網(wǎng)安全

恭喜你，如果學(xué)到這里，你基本可以從事一份網(wǎng)絡(luò)安全相關(guān)的工作，比如滲透測試、Web 滲透、安全服務(wù)、安全分析等崗位

如果想就業(yè)面更寬一些，技術(shù)競爭更強(qiáng)一些，需要再學(xué)習(xí)內(nèi)網(wǎng)滲透相關(guān)知識

內(nèi)網(wǎng)的知識難度稍微偏大一些，這個和目前市面上的學(xué)習(xí)資料還有靶場有一定的關(guān)系；內(nèi)網(wǎng)主要學(xué)習(xí)的內(nèi)容主要有：內(nèi)網(wǎng)信息收集、域滲透、代理和轉(zhuǎn)發(fā)技術(shù)、應(yīng)用和系統(tǒng)提權(quán)、工具學(xué)習(xí)、免殺技術(shù)、APT 等等

四、滲透拓展

滲透拓展部分，和具體工作崗位聯(lián)系也比較緊密，盡量要求掌握，主要有日志分析、安全加固、應(yīng)急響應(yīng)、等保測評等內(nèi)容；其中重點掌握前三部分，這塊的資料網(wǎng)絡(luò)上也不多，也沒有多少成型的書籍資料，可通過行業(yè)相關(guān)的技術(shù)群或者行業(yè)分享的資料去學(xué)習(xí)即可，能學(xué)到這一步，基本上已經(jīng)算入門成功，學(xué)習(xí)日志分析、安全加固、應(yīng)急響應(yīng)三部分的知識也相對較為容易

但是有很多零基礎(chǔ)的小白代碼基礎(chǔ)通常較弱，很多小白會倒在前期學(xué)習(xí)語言上，所以推薦先學(xué)習(xí) web 滲透和工具，也比較有意思，容易保持一個高漲的學(xué)習(xí)動力和熱情。像 php 語言、自動化滲透和代碼審計部分內(nèi)容，可以放在最后，當(dāng)學(xué)習(xí)完畢前面知識后，也相當(dāng)入門后，再來學(xué)習(xí)語言，相對會容易一些

具體學(xué)習(xí)內(nèi)容我就不說了，請參照上面的路線即可！

五、小白如何快速入門學(xué)習(xí)黑客

如果你問我，小白應(yīng)該如何有效的快速入門，我會毫不猶豫的告訴你“找個靠譜的入門課程帶你入門”比起你看書或者自己一個人慢慢摸索，效率是高很多的！

下面這個課程是我比較推薦的，課程是完全面向零基礎(chǔ)的朋友，老師講的通俗易懂，就算是小白也能完全跟得上，而且每節(jié)課程都配備了相對應(yīng)的靶場練習(xí)，這樣就可以在實踐中印證理論、加深理解、同時繼續(xù)擴(kuò)展學(xué)習(xí)，這對小白來說幫助非常大

這個課程適合零基礎(chǔ)入門者，全視頻實操教學(xué)+配套靶場練習(xí)+全套滲透工具，而且課程是 free 的。不僅帶你輕松入門學(xué)習(xí)黑客，還能幫助你培養(yǎng)滲透思維！

感謝大家能夠耐心看完！如果覺得有用的話，不妨點贊+收藏+關(guān)注！主頁也會分享更多滲透技巧

一起加油吧！只要堅持學(xué)習(xí)，你的收獲遠(yuǎn)遠(yuǎn)超過你的想象！文章來源地址http://www.zghlxwxcb.cn/news/detail-451906.html

到了這里，關(guān)于網(wǎng)絡(luò)安全里的主要崗位有哪些？小白如何快速入門？的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！