2024年12月23日 法国杯1/32决赛 朗斯vs巴黎圣日耳曼 全场录像
15
2024 / 12 / 23
网络安全分类
安全行业按技术可以分为俩大类,一类是脚本小子,另一类就是脚本加手动渗透。当然这里说的脚本小子并不等同于网络安全入门,概述中说的网络安全门槛低只是脚本小子中的底层一类,同样可以完整的拿下整个项目,但是并不需要太多的技术,就拿风险评估举例:
主要就三大块内容,基线核查、渗透测试、主机漏扫都可以通过大型工具扫描以下,导出报告,编写一下最终风评报告就可以交差。可以说学一下漏扫工具的使用就可以从事网络安全工作,但这样的人才工资都不会很高。
再来说下安全行业细分可以分为哪些方向,主要是以下几种:
网络安全(一般说的就是网络架构,包括各种安全设备等,通过等保2.0来进行测评)
web安全(简单说就是平常可以用浏览器打开的应用,当然不局限于网页中的功能块,也包含中间件,框架等)
移动智能终端安全(手机上的app安全测试于web相似,测试方法稍有不同,尤其涉及抓包相对web来说很麻烦,比如会出现乱码等问题,别说是bp显示中文、编码utf-8等,我说的不是这个问题)
主机安全(一般就是做个基线核查以及主机漏扫,主机漏扫结果主要就是看应用涉及的问题,可以通过kali去手测,需要大量的经验积累,临时靠度娘效率太慢)
大数据安全、云计算安全、无线安全、工控安全等
从0到精通的路线
以下是为个人总结路线:
底子不薄的人,没必要从网络安全底层学起,只要懂点linux、web架构以及前后台的搭建完全可以直接学web安全,先学基线核查、信息收集(信息收集越多后续进度越快),基线核查虽然简单,但不能不会,为后续打进主机做准备;把top10逻辑漏洞整明白,涉及到框架就看当前版本存在的漏洞,把漏洞环境拉下来自己就打环境,打进去就提权(尝试多种方法),积累自己的经验,小脚本工具用的熟练了就开始网络安全的下一步。
对于漏扫工具,除非是赶项目进度,否则不要使用,形成对工具依赖,那网络安全也就止步了
可能大多数人听到的都是学网络安全不需要学代码,是,如果但此止步不用学代码,但能称为是人才吗?
接下来要自己完整的学习一套前后台代码,其他的代码要做到能看懂,用时可以百度一下代码块直接用,我学习代码,只是为了进军代码安全,编写自己的poc,当然代码安全也不是说从头看,比如信息收集时发现了泄露的代码,通过web视图界面发现可能存在漏洞的地方,找到前端接口,调转源码去深度挖掘。(遗憾的是我也不喜欢代码,做代码检测时只是用工具跑一下手动验证而已)
发表评论
暂时没有评论,来抢沙发吧~