前言
网络安全是当今数字时代的重要领域,许多朋友希望了解如何入门或转行网络安全。本文旨在指出自学过程中的常见误区,提供客观可行的学习路径,并推荐适合初学者的资源。对于已有深厚技术背景的大佬,以下内容可能较为基础。
一、自学网络安全的误区和陷阱
1. 不要试图先成为一名程序员再开始学习
很多人认为必须先精通编程才能进入安全领域。实际上,学习编程周期长,且向安全过渡后可用到的关键知识有限。如果将编程学好再开始学习网络安全,往往需要花费很长时间,容易半途而废。学习编程只是工具而非目的,我们的目标是成为安全工程师。建议在学习网络安全的过程中,遇到哪里不会补哪里,这样更有目的性且耗时更少。
2. 不要把深度学习作为入门第一课
很多人冲着要把网络安全学好学扎实而来,于是用力过猛,陷入误区:把所有内容都进行深度学习。把深度学习作为网络安全第一课不是好主意,原因如下:
- 深度学习的黑箱性更加明显,很容易学的囫囵吞枣。
- 深度学习对自身要求高,不适合自学,很容易走进死胡同。
3. 不要收集过多的资料
网上关于网络安全的学习资料很多,动辄几个 G 的材料可以下载或者观看。很多朋友有'收集癖',一下子购买十几本书,或者收藏几十个视频。网上的学习资料很多重复性极高,而且大多数的内容还是几年前没有更新的。在入门期间建议'小而精'的选择材料,耐心往下看推荐的资源。
二、学习网络安全的一些前期准备
1. 硬件选择
经常会有人问:'学习网络安全需要配置很高的电脑吗?'答案是否定的。黑客使用的电脑不需要什么高的配置,只要稳定就行。因为黑客所使用的一些程序,低端 CPU 也可以很好的运行,而且不占什么内存。还有一个,黑客是在命令行环境下进行的,所以电脑能使用到最佳状态即可。因此,不要打着学习的名义重新购买机器。
2. 软件选择
很多人会纠结学习黑客到底是用 Linux 还是 Windows 或者是 Mac 系统。Linux 虽然看着很酷炫,但是对于新人入门并不友好。Windows 系统一样可以用虚拟机装靶机来进行学习。至于编程语言,首推 Python,因为其良好的拓展支持性。当然现在市面上很多网站都是 PHP 开发的,所以选择 PHP 也是可以的。其他语言还包括 C++、Java 等。
很多朋友会问是不是要学习所有的语言呢?答案是否定的!引用上面的一句话:学习编程只是工具不是目的,我们的目标不是成为程序员。这里额外提一句,学习编程虽然不能带你入门,但是却能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识。
3. 语言能力
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的。而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词,在与其他黑客交流技术或者经验时也会有障碍,所以需要一定量的英文和黑客专业名词(不需要特别精通,但是要能看懂基础的)。
比如说:肉鸡、挂马、shell、WebShell 等等。
三、网络安全学习路线
第一阶段:基础操作入门
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在 1 个月左右比较合适。在这个部分我介绍的课程和书籍都属于难度非常低的,就算是完全零基础的小白只要认真学也是能够学会的。
课程推荐: 推荐下面这套 Web 安全入门基础课程,难度不大而且完全免费。这套课程至今已经有大量学习人次,好评度很高。一共包含了 40 节课,课程内容主要包含了 Burp Suite、AWVS、CS、MSF 等当下主流工具的使用,而且每节课程都配备了练习靶场。听完课程后再去靶场进行练习,靶场当中有任何不懂的问题也可以在学习群里请教前辈,这样能够大大提升你的学习效率。
书籍推荐: 在学习基础入门课程的同时,推荐同时阅读相关的书籍补充理论知识,这里比较推荐以下几本书:
- 《白帽子讲 Web 安全》
- 《Web 安全深度剖析》
- 《Web 安全攻防 渗透测试实战指南》
第二阶段:学习基础知识
在这个阶段,你已经对网络安全有了基本的了解。如果你认真看完了上面推荐的书籍和课程,相信你已经在理论上明白了什么是 SQL 注入,什么是 XSS 攻击,对 Burp、MSF 等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!
所谓的'打地基'其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备以下几个基础知识模块:
- 编程语言基础:如 Python、PHP 等。
