V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
brainjoy
V2EX  ›  信息安全

学习渗透测试,请教学习路径

  •  
  •   brainjoy · 2016-12-20 09:24:34 +08:00 · 6320 次点击
    这是一个创建于 2925 天前的主题,其中的信息可能已经有所发展或是发生改变。

    正在学习移动端编程,想学完之后开始学习渗透测试,现在手头上有《 Python 基础教程》《黑客大曝光第 7 版》《白帽子讲 web 安全》《 web 前端黑客技术解密》《黑客攻防技术宝典 web 实战篇》《鸟哥的 linux 私房菜》这几本书,计划是先把 Python 学完,看黑客大曝光边看边做,接下来,请有经验的渗透测试攻城狮指导一下下一步该怎么学习?或者整个的学习路径应该是怎样的?先学工具还是先学语言?还是先学 linux ?学习 linux 鸟哥这本书可以不?还是直接从 Kali 开始?学完 web 是不是得学 SQL ?。。。。。。 请介绍学习思路,越详细越好,每天有 2 个钟头用来学习。

    13 条回复    2016-12-23 08:16:09 +08:00
    ByZHkc3
        1
    ByZHkc3  
       2016-12-20 09:39:23 +08:00
    先看看爱春秋学院的课程目录,然后自己选择。
    别以为我叫你买那些课程啊 ,油管上一堆 kali linux 的教程
    Yourshell
        2
    Yourshell  
       2016-12-20 09:49:07 +08:00 via Android
    搜索'知道创宇研发技能表'
    scriptkid
        3
    scriptkid  
       2016-12-20 09:54:20 +08:00
    菜鸟一枚路过,不擅高谈阔论,什么学习思路的说不来。
    linux 的话个人觉得《鸟哥的 linux 私房菜》能啃透就够了,通俗易懂,看起来还不枯燥。
    先学工具还是先学语言?语言才是基础,当然如果你觉得你需要先来点刺激下你的兴趣,你可以先学点工具使用。
    工具使用其实学起来很快,编码能力才是耗时的,不管先学哪个,反正到最后你还是得两者都会,感觉其实差别不大。
    Kali 好用,但其实也就是 Linux+各种实用的工具, Linux 和工具都会了这个就会了。
    至于 SQL ,不会 SQL ,那 SQL 注入怎么办,只靠工具,跑完结果都不知道发生了什么?
    个人观点,不一定对,共参考
    hack
        4
    hack  
       2016-12-20 10:36:15 +08:00   ❤️ 1
    有这个时间,建议学编程,学汇编,然后试着花半年时间黑下国内大互联网公司的分站 push1 ,撸一遍以后实战下大互联网公司,保持权限一年以上 push2 ,分析分析这家的安全措施,安全架构,攻防对抗……实践完几家也是 5 年以后了,接下来可以试着找 0day 写自动化工具, push the world ,不要沉浸于互联网,你可以黑的下这个世界,却不见得搞懂一个女生,再者安全是辅助, hack 获得的成就感对人类算不上多大的贡献,自我感觉,还不如出去种种树净化净化空气,有这个精力,搞搞自动化 、材料都比 Penetration test 有意义
    wildcat007
        5
    wildcat007  
       2016-12-20 10:36:47 +08:00
    百度搜索‘ BWAPP ’,可以学习下
    hffaxy
        6
    hffaxy  
       2016-12-20 10:55:21 +08:00
    渗透的话,我想想。。。
    先说好哈,窝自己也是一个菜鸡
    基本技术的话
    Js , PHP , SQL ,网络协议是你的基本功。 Web 是战场,无论是 SQL 注入还是 XSS ,看不懂原理,审计不来不安全代码始终是不行的。
    C ,汇编,操作系统( Linux/Win )是技术后台。渗透的意义无论是后门,脱裤还是提权,都需要对主机操作系统的认识和了解,即使是渗透,也需要溢出,反弹 shell ,需要了解操作系统漏洞和 shellcode
    kali , metasploit , BeEf 是你的利刃。熟练操作成熟工具是你事半功倍,但是过度依赖只能成为脚本小子。
    各种国内外黑科技新技术,看书充实自己,关注安全大牛,适当实战,或者自己搭建 DVWA 玩玩也是可以的

    最后的最后,一定要学习信息安全相关法律,技术是灰色的,所谓的好坏只有使用技术的人才能决定。周围有朋友在搞黑产,利润真的很高,但是我们还是一直劝他希望别干了。最近的乌云白帽事件也告诉大家,只有懂得法律才能保护好自己。
    kulove
        7
    kulove  
       2016-12-20 11:02:54 +08:00
    之前 wooyun 知识库 /wiki/社区是很好的平台,知道创宇研发技能表的技能点很详细
    RIcter
        8
    RIcter  
       2016-12-20 11:42:47 +08:00 via iPhone
    前置知识不足的话就先别走这条路
    panda1001
        9
    panda1001  
       2016-12-20 11:45:18 +08:00 via Android
    闷声大发财
    ourren
        10
    ourren  
       2016-12-20 13:33:55 +08:00
    从这里开始: 安全人员基本技能 https://www.sec-wiki.com/skill/1
    kopp123
        11
    kopp123  
       2016-12-20 18:26:38 +08:00
    安全这条路只适合兴趣不适合工作。无论从待遇还是发展空间。花同样的时间精力随便那个行业你都可以做到很牛逼。
    brainjoy
        12
    brainjoy  
    OP
       2016-12-22 23:04:01 +08:00
    @kopp123 个人愚见,网络安全是未来全世界关注的重点,其前景不亚于物联网和人工智能。移动安全未来必然是热门。
    kopp123
        13
    kopp123  
       2016-12-23 08:16:09 +08:00 via Android
    纸上谈兵!别谈什么未来趋势。跟你无关!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4456 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 05:34 · PVG 13:34 · LAX 21:34 · JFK 00:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.