Web开发

注册

 

发新话题 回复该主题

网络安全类人才培养计划 [复制链接]

1#
拼多多运营求职招聘交流QQ群 http://liangssw.com/bozhu/12719.html

近日来有很多小伙伴问到我在网络安全行业如何深造?怎么成为安全行业的专家、技术大拿?

从长远来看,参考近三年全国网络安全竞赛的冠*,我们的目标应该是这样一个人:基本功扎实,理论+实操能力都很强,具备黑客的技术实力与思维模式,大家公认的行业安全专家、技术大拿。

所以学习要求应该是这样子:

第一步、网络方面

1、要熟悉各种通信协议原理,最好达到CCNP的程度,像《TCP/IP详解卷一》这种书有精力可以看,没有精力就学习CCNP的课程,这样会省力一些;

2、操作系统方面以linux为主,建议学习RHCE认证课程,达到RHCE的水平;

3、数据库要熟悉微软的MSSQL,开源的MySQL和Oracle,必须精通SQL语句,建议学习OCP课程,达到OCP水平最好。

第二步、编程语言

1、要学会C、汇编、Javascript、PHP、Python、正则表达式和SQL语言,不要求自己去做开发,这样也不现实,但一定能够读懂一般的代码,会分析,知道代码是干什么的,要达到什么目的;

2、要知道代码中哪一行存在安全问题,例如注入、XSS、溢出、危险PHP函数、危险正则参数等。

第三步、看攻防类书籍,同步做实验!

这里最忌眼高手低,实验很重要,而且要做两遍、三遍甚至更多才能真正领会、掌握。

推荐一些书目:(电子版的可以联系我,条件允许最好买纸质版的,个人觉得看书还是纸质的最好,电子的总觉着当做百科全书去查还行)

Web安全类:

《黑客攻防技术宝典.Web实战篇》、《网站入侵与脚本攻防修炼》这两本较为基础

《Web渗透技术及实战案例解析》基本都是真实的渗透案例,结合实验环境进行练习

《Web前端黑客技术揭秘》、《白帽子讲Web安全》(完整扫描版)最好的讲Web安全的两本书,但有点难度,个人比较推荐

《黑客大曝光:Web应用程序安全》第三版

综合渗透测试:

《黑客大曝光:网络安全机密与解决方案》第6版

《黑客大曝光:无线网络安全》(原书第2版)

《数据库黑客大曝光--数据库服务器防护术》

《黑客大曝光:Linux安全机密与解决方案》

《黑客大曝光:恶意软件和Rootkit》

《暗战亮剑-黑客渗透与防御全程实录》

《网络渗透攻击与安防修炼》

《Metasploit渗透测试魔*训练营》

《常用网络设备的攻击与防御》

《Wireshark数据包分析实战》

逆向与漏洞分析:

《0day安全软件漏洞分析技术》第2版

《黑客之道:漏洞发掘的艺术》-推荐

《IDAPro权威指南》

无线安全:

[无线网络黑客攻防].杨哲

其他:

《Android渗透测试入门教程》

《Python核心编程》(第二版)

第四步、熟悉各种常见的中间件和企业应用软件

如IIS、Apache,要求一定要熟悉这些应用软件的细节,反复研究研究这些应用,没准儿有人会发现未知漏洞

另外,建议参加CISD培训

为了全面掌握信息安全方面的知识体系,推荐学习国内对于信息安全从业人员的最高认证——CISD,这个认证更多的偏重于对信息安全的宏观把握和全面理解,从整体和根本加强安全意识和视野,里面涉及到的信息安全体系建设知识、信息安全管理知识、安全保障体系、法律法规与标准知识、安全开发模型、最佳实践等都是信息安全竞赛中会涉及(但可能不需要掌握非常深入),并且是信息安全从业人员必须知道的,对于扩宽知识面、补充知识体系中的遗漏点非常有好处。

参加这个认证没有时间顺序的限制,一开始就学习了也可以,可以建立起全面的信息安全知识体系,对后续某些知识领域的深入学习也是很有好处的。

先写这么多吧,难免有所遗漏,后面想到了再行补充。

分享 转发
TOP
发新话题 回复该主题