很多计算机专业的学生在学习渗透测试的时候通常比较随意,以为自己是计算机专业的,渗透测试也是一个专业,所以在学习上比较懒。今天老师讲了计算机基础知识,感觉很简单。没有必要听它。明天他一讲到Python编程,就觉得很简单,睡着了。。。只有到了渗透知识的时候,你才会更认真。
经常被忽视的编程和计算机基础知识是非常重要的,它们对渗透水平起着决定性的作用。
1.比如你编程水平高,你在代码审计方面会比别人强,你写的开发工具也会比别人好用。
2.比如你有很高的数据库知识水平,你在进行SQL注入攻击的时候可以写出更多更好的SQL注入语句,可以绕过别人绕不过的WAF。
所以计算机专业的学生不要好高骛远,要脚踏实地一步一步来,找到正确的学习路线和方法。武汉安銮学院也整理了很多渗透测试的学习路线和资料,希望对你有所帮助。
接下来简单说一下安銮学院的学习路线,以及如何规划学习路线。
首先要考虑一个合格的渗透测试工程师需要掌握哪些能力,然后按照这个标准去学习。
综合能力
掌握渗透测试流程,能够独立完成渗透测试。
良好的沟通技巧,团队合作和逻辑分析能力。
执行力强,责任心强,自学能力强。
专业知识
渗透试验各阶段的主要工作内容
主流渗透测试工具的使用
测试各种技术能力和报告撰写方法。
技术
掌握Java/c和c++语言,具有良好的编程能力。
掌握1-2门脚本语言,如Python、shell等
常见漏洞的原理、利用和修复方法
掌握渗透测试的思想和方法。
掌握常用渗透测试工具的使用,如BURP、SQLMAP、NMAP、AWVS等。
掌握主流网络渗透技术,如信息收集、SQL注入、XSS、文件上传、反序列化攻击、SSRF、CSRF、横向移动、功率提升等。
知道了所需的能力之后,就是学习。那么怎样的学习路线才能让你更快的掌握渗透测试工程师所需的能力呢?
第一步:学习环境中的web功能系统,了解系统原理。
了解Web前后端与服务器的通信原理,建议可以通过搭建环境来学习。比如可以手动使用一键phpstudy或者lnmp,因为在关联配置文件的时候,可以在实践中了解Web中各种零件、齿轮的供应链、运行机制、工作原理。
第二步:前端代码和后端程序设计介绍。
我们这里的前端和后端指的是H5、JS、PHP、SQL,当然还有一些服务器如WinServer、Nginx、Apache等。
第三步:学习安全技能和使用的主流原则。
目前主流的漏洞原理一般有SQL、XSS、CSRF等。
第四步:实践练习。
找一些靶场进行实战训练,但是不建议新手去CTF和SRC训练。可以选择一些好的教育平台来学习,他们会提供实际的射击场。
第五步:学习技术分析岗的经验。
多学习大神的技术分析帖,学习前辈在挖0天的思路和技巧,再尝试同样的审核,提升自己的技术水平。
当然,实战练习肯定是渗透测试学习不可或缺的。没有找到合适的实战练习的同学可以来武汉安銮学院。我们有自己的靶场环境和线下CTF平台,可以有效的帮助学习。想了解实战平台的同学可以问我们操作权限。
那么学习渗透测试之后能找到什么样的工作呢?总的来说,各大行业对渗透测试工程师都有需求,也有不同的岗位,从下面两张图可以看的很清楚。
那么渗透测试工程师的发展前景如何?
市秤
在工信部网络安全产业高质量发展三年行动计划中,明确要求到2023年我国网络安全产业规模超过2500亿元,未来10年网络安全产业保持25%以上的增速。10年后,中国网络安全市场规模将超过1.4万亿元。
而中国网络安全行业的相关人才跟不上规模的发展。据悉,我国网络安全专业人才缺口超过140万。
18年,缺口达到95%,超过70万;20年超过232%,达到140万;21年,差距飙升285%。...
政策支持
棱镜门事件以来,我们国家颁布了很多与网络安全相关的法律法规,也出台了一系列网络安全人才培养政策,将网络安全作为一级学科加入高校,鼓励社会培训机构培养网络安全人才。
2014年,在中央网络安全和信息化领导小组第一次会议上,国家明确提出“没有网络安全就没有国家安全”。尤其是2021年,一系列政策密集出台,足以说明网络安全的重要性。
除了法律层面,网络安全人才的培养还包括大学培训、企业培训、培训机构培训等路径。,而这些都是国家大力支持的,国家甚至积极提供相应的政策和福利鼓励网络安全人才的培养。
短短几年,网络安全工程师成为“正规军”,也直接跃升为国家战略资源,成为很多企业的稀缺资源。
就业方向
不仅是大型企业和政府机关,一些非一线城市的中小企业和民营企业对安全人才的需求也逐渐增加,网络安全人才可以选择的岗位和机会也逐渐增多。这说明网络安全行业的市场需求很大,人才还是很稀缺的,网络安全人才的发展机会和发展空也很大。这种市场环境非常有利于网络安全人才的发展。
薪水
薪资是所有求职者最关心的问题。毕竟谁不出来要钱?大家都想住别墅开豪车年薪百万。
此前,猎聘联合发布了《2019中国网络安全与功能安全人才白皮书》,系统分析了网络安全与功能安全领域的人才画像、行业与区域供需、行业薪酬与发展等。可见19年全国网络安全人才平均年薪为24.29万元。
随着网络安全市场的扩大和市场需求的增加,网络安全人才的薪酬会进一步提高。