我之前写过很多关于自学网络安全的文章,各种学习路线,学习资料,学习教程,推荐书籍都有详细推荐,但是还是会有很多朋友会问我们如何学习网络安全。为什么自学这么难?这里我再梳理一遍自学的学习路线,然后分析一下为什么大家一学就丢了。和一些应对技巧。
首先要明确的是,网络安全包含的内容很多,范围很广,分为很多板块,包括:网络安全、web安全、云安全、移动安全、桌面安全、主机安全、工控安全、无线安全、数据安全等等。
本文提到的网络安全是web安全,因为小白从web安全入门难度最低,使用的工具也比较多,对小白比较友好。很多安全行业的人基本都是先学web安全的。
虽然之前有很多关于学习路线的文章,但是这里的学习路线是根据我们付费的课程大纲写的,对小白非常友好,也很有帮助。
第一阶段:基本操作介绍
入门的第一步是学习一些当前主流的安全工具和支持原理。一般来说,自己学习这个过程一个月左右比较合适。
第二阶段:学习基础知识。
在这个阶段,我们对网络安全有了基本的了解。通过第一步的学习,一定已经了解了所有的理论知识,比如什么是sql注入,xss攻击等等。我们也基本掌握了一些安全工具的基本操作,比如burp、msf、cs等等。这个时候不能急功近利。我们必须沉下心来,开始夯实基础!
这时候就需要系统的学习计算机基础知识了!学好网络安全的前提是具备五个计算机基础知识板块:
操作系统
协议/网络
资料库
开发语言
共同脆弱性原则
可能有人会问,学习这些基础知识有什么作用?
就像修房子一样,如果你想让它更高更牢固,那么房子的地基就必须更深更牢固。坚实的基础可以支撑起一座高楼!
同样,计算机各个领域的基础知识水平也决定了渗透测试水平的上限。
编程水平越高,代码审计越强,写出来的开发工具越好。
有了高水平的数据库知识,SQL注入攻击时写的注入语句可以绕过更多的WAF;
网络层次高的时候,内网穿透的时候目标的网络结构会更清晰,你会知道自己在哪里;
操作系统水平高,动力更强,信息收集效率更高。
所以计算机基础知识水平高的人,渗透测试水平也不会低!
第三阶段:实战操作
1.挖src洞
挖src的目的是把学到的技能用到实践中去。学网络安全最大的错觉就是学了之后什么都懂了,但是到了挖坑的时候却不知道从何下手。SRC恰好是一个非常好的练习技巧的机会。
2、学习技术分享贴
把近十年所有的0-0day漏洞挖掘帖子都看一遍,然后自己搭建环境,重现漏洞,思考作者的挖洞思维,培养自己的穿透思维。
3.靶场练习
第四阶段:参加CTF竞赛或HW行动。
CTF竞赛是最接近实战的机会。现在网络安全法非常严格,你不能像以前那样“为所欲为”,而CTF可以给你提供最接近实战的机会。比赛的题目也和现在的技术有关,而书的内容通常是落后的。
建议大学生玩CTF比赛,因为对以后找工作很有帮助。这里有个小建议。如果你想玩CTF,直接去做竞赛题,看不懂的时候再去查阅资料。
参加HW可以得到非常好的锻炼,提高自己的技能,尤其是全国HW。在提升自己技术的同时,也可以认识很多业内人士,拓展人脉。工资也是不少收入。参加HW可以赚很多钱。而且对以后找工作也很有帮助。
据了解,很多自学网络安全的人都有到第二阶段就放弃的想法,自制力不够强的人大多止步于第二阶段。不仅浪费了时间,也消耗了我的兴趣。
下面总结一下自学失败的原因:
没有成熟的学习路线。很多专业人士都无法总结出一条完美的学习路线,零基础的小白对学习路线的选择是存疑的。
没人指导,错误的学习方法。网络安全是一个攻防能力很强的专业。学的不对,纸上谈兵学不好网络安全。
自制力差+诱惑太多。没有办法静下心来学习,学习进度一直停滞不前。刷一个手机要半天,朋友聚会的时候就开始注意力不集中。很难学。
自学阶段如何克服失败?
找到正确合适的路线。武汉安銮的课程大纲可以借鉴,符合大部分零基础小白的情况。
获胜的勇气。历史上行军打仗,士气很重要。一定要有信心,否则会陷入自我怀疑,最终导致放弃。
小目标和持续性。网络安全非常需要持续性。和学习联系起来很重要。你也要给自己定一个小目标,比如十五天/一个月要学多少内容,要做出什么样的成绩。这样不断确认,信心会加强,成绩的反馈会给你不断学习的动力。或者找一个要求高的人监督你的学习,经常督促你。也可以尝试打卡学习,或者找个真正的技术交流群。
多联系多复习。学习任何知识都讲究温故而知新。只有掌握了以前学过的知识,才有掌握新知识的基础。
自学一般需要半年到一年的时间,才能杜绝急于求成的心态。如果想快速进入工作岗位,建议选择靠谱的培训,三个月就能顺利学会上岗。自考的同学不用担心,没有扎实的技术更别说面试了。面试失败很容易导致挫败感。
坚持自学非常非常重要。只要你坚持,就会有忠妻的一天!
网络安全是一条漫长的路,自学阶段的结束只是一个小阶段的胜利,并不意味着真正的结束。因为自考后不一定能顺利找到工作,还有很多问题需要及时解决!
很多自考的学生都会有这些问题,因为这些问题导致很多人放弃网络安全。可惜他们学了所有的知识,最后还是放弃了。没有人愿意这样做!
学习后的问题及解决方法;
技能掌握不好。想要解决这个问题,需要多接触多复习,然后在工作中锻炼自己,尝试做一个完整的项目来提升自己的技能。
简历的写作。这个问题一直有争议。这里给出的建议是,应届毕业生不用包简历,别人不包简历也可以不包。如果打包简历,一定要!
面试会有很多问题。在技术扎实的情况下,面试取得了巨大的成功。面试遇到的问题一个是技术,一个是项目,一个是个人发展。一般来说,大公司专注于底层技术,中小公司专注于项目。遇到面试问题并不可怕。面试多了,就有经验了。多做面试,看各种平台的面试经验帖。
最后,网络安全之路是一条探索之路。无论你选择什么方式进入,你的工作中有很多知识和领域是我们在学习中无法接触到的,无论是培训还是自学。你所学知识的深度只够让你勉强胜任工作,你需要在工作中体验空白的浩瀚无垠!
这就是我们常说的,师傅领进门,修行靠个人。
学习网络安全的开始,注定是一条永无止境的学习之路!
你想过吗?
