【信息安全 】 一名合格的Web安全工程师之成长路径

最新推荐文章于 2025-12-12 16:05:37 发布
原创 最新推荐文章于 2025-12-12 16:05:37 发布 · 887 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #服务器 #网络 #学习 #python #java

为什么要学网络安全(信息安全)

1、就业率
根据就业蓝皮书中显示,2022届本科毕业生10大高薪专业,几乎都被与IT紧密相关的计算机类、电子信息类专业占领。其中信息安全排名第一。

2、国家支持
先来简单谈几起网络安全事件,通过现象看本质。

2.1西工大邮件系统遭境外组织入侵
9月据官方通报,西工大被境外组织攻击事件,系美国国家安全局所为,该局针对西北工业大学的网络攻击,使用了41种不同的专属网络攻击武器,攻击链路多达1100余条,仅后门工具“狡诈异端犯”就有14款不同版本。持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

2.2 滴滴被罚80.26亿元
这应该是安全事件中最大的罚单了吧,7月21日,国家互联网信息办公室对滴滴处以人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

如何学习Web安全
关于如何学习Web 安全开发知识,最近有幸在360技术总监手里扒到这份Web安全入门开发笔记,部分知识章节发布到了在GitHub上标星10K,今天就拿出来分享给大家。

本笔记主要讲解了web安全入门学习的主要模块:

1. 序章

1.1 web技术演化

1.2 网络攻防技术演化

1.3 网络安全观

1.4 法律与法规

2. 计算机与网络协议

2.1 网络基础

2.1.1 计算机通信网的组成

2.1.2.通信协议

2.1.3.OSI七层模型

2.2.UDP协议

2.2.1.主要特点

2.3.TCP协议

2.3.1.简介

2.3.2.拥塞控制

2.3.3.参考链接

2.4.DHCP协议

2.5.路由算法

2.5.1.简介

3. 信息收集

3.1.网络入口/信息

3.2.域名信息

3.3.端口信息

3.4.站点信息

3.5.搜索引擎利用

3.6.社会工程学

3.7.参考链接

4.常见漏洞攻防

4.1.SQL注入

4.2.XSS

4.3.CSRF

4.4.SSRF

4.5.命令注入

4.6.目录穿越

4.7.文件读取

4.8.文件上传

4.9.文件包含

4.10.XXE

4.11.模版注入

4.12.Xpath注入

5.语言与框架

5.1.PHP

5.2.Python

5.3.Java

5.4.JavaScript

5.5.Golang

5.6.Ruby

5.7.ASP

6.内网渗透

6.1.Windows内网渗透

6.2.Linux内网渗透

6.3.后门技术

6.4.综合技巧

6.5.参考链接

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 7126
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
杨秀璋的专栏
09-29 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码,本文将讲解Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。
网安行业就业率这么高,平均薪资水平超2w,你确定不学渗透?
瓦罗兰特顶级C位的博客
06-05 250
不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。
网络安全 - 一名合格Web安全工程师成长路径
Javachichi的博客
06-07 480
网络安全思维脑图(技能树)】知识不体系?这里还有整理出来的网络安全学习的思维脑图,给大家参考一个方向。​【网络安全视频学习资源】​跳槽是升职涨薪最直接有效的方式,备战2023秋招,各位做好面试造火箭,工作拧螺丝的准备了吗?掌握了这些知识点,面试时在激烈竞争中又可以夺目不少。机会都是留给有准备的人,只有充足的准备,才可能让自己可以在候选人中脱颖而出。优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
信息安全工程师-案例分析(2016-2023真题)
m0_56010012的博客
12-23 2678
文章为真题案题型分类,方便归纳章节知识点,部分简单真题没有相关答案解析,后续需要,可以更新答案版解析。
2024信息安全工程师考点总结
qq_73233236的博客
09-14 6707
2024信息安全工程师知识点,考点总结
2023 软考信息安全工程师 知识点
UP's blog
11-13 4453
2023软考信息安全工程师通过啦! 软考知识点总结,及2023题目回忆分析
Web 安全之文件下载漏洞详解
zz12345600354的博客
06-09 4514
引言文件下载漏洞原理文件下载漏洞的危害文件下载漏洞类型文件下载漏洞的利用方法文件下载漏洞示例文件下载漏洞的防护措施漏洞检测与测试小结。
信息安全工程师 面试题
UP's blog
01-23 3074
web安全面试题及答案
安全测试工程师】超实用的Web渗透测试学习路线~
weixin_44433834的博客
08-02 3747
前言 本文整理的学习路线,清晰明了,重点分明,能快速上手实践,相信想学的同学们都能轻松学完。都是干货啦,先收藏⭐再看吧。本文偏基础能让萌新们快速摸到***测试的门道,少走弯路,也能让正在学习的小伙伴们查漏补缺,也欢迎大佬们在评论区指正错误~ 先上脑图 其实安全测试需要的知识面是非常广的,但跟着教程有重点地学习还是能很快理清思路上手测试的,后续可以自己深入研究,吃透这些领域的知识。 首先我们要了解什么是***测试。 我们知道业务功能、逻辑的测试有黑盒测试和白盒测试,前者把程序看作一个不能打开的黑盒子,在完
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
2021年信息安全工程师真题与答案
jockrom的博客
09-07 1万+
1、常见的信息安全基本属性有:机密性、完整性、可用性、抗抵赖性和可控性等。其中合法许可的用户能够及时获取网络信息或服务的特性,是指信息安全的()。 A.机密性 B.完整性 C.可用性 D.可控性 参考答案:C
信息安全工程师模拟测试题
RZer的博客
09-06 1034
信息安全工程师信息安全工程师证书属于软考中级资格证书之一,为了适应“十三五”期间计算机软件行业发展需要,满足社会多方对信息安全技术人员的迫切需求,信息安全工程师在2016年下半年首次开考,目前一年仅考一次。
Web安全工程师学习指导:全面职业引导课程
Web 安全工程师学习路径被划分为四个阶段:职业引导、技能学习、项目实战、择业指导。每个阶段都有其独特的教学目标和内容,共同构成了完整的职业发展课程。 ##### (1) 职业引导 职业引导是学习的起始阶段,主要...
软考-中级信息安全工程师知识点(混乱不排序版)-2
MingXS2021的博客
01-23 1923
软考-中级信息安全工程师知识点
渗透测试行业术语扫盲(第六篇)—— Web安全专用类术语
qq_39241682的博客
12-09 895
Web是渗透测试的主战场。要在此作战,不仅要懂攻击漏洞(如上一篇所述),更要理解支撑Web运行的基础身份机制、浏览器安全规则以及攻防双方使用的具体工具与载荷。本篇将深入Web安全的“皮下组织”,从维持登录状态的Cookie,到攻击者留下的Webshell,再到防御者的CSP策略,为你揭示这个战场的完整规则与装备图景。
网络安全-文件上传漏洞
m0_56970656的博客
12-09 303
文件上传漏洞是攻击者通过文件上传点上传恶意文件,如木马、脚本等,最终一般会通过shell管理工具(如蚁剑、哥斯拉等)连接从而控制系统的漏洞、
Web安全】SSRF
最新发布
qinjilll的博客
12-12 969
SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞,允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制,常见于社交分享、在线翻译、图片加载等功能点。 漏洞利用方式包括: 探测内网存活主机和开放端口 利用file协议读取本地敏感文件 访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行 防御措施: 白名单限制:仅允许访问可信域名/IP和协议 输入校验:过滤特殊字符,校验IP归属 内网服务加固:禁用未授权访问,设置强密码
Windows系统映像劫持:网络安全中的“李代桃僵”战术
Bruce_xiaowei的博客
12-12 844
摘要(149字): Windows系统映像劫持(IFEO)是一项被滥用的调试功能,攻击者通过修改注册表Image File Execution Options项,将合法程序启动重定向到恶意软件。这种"李代桃僵"手法常用于绕过安全软件、维持权限和隐蔽执行。检测可使用Autoruns工具或检查注册表异常项,防御需限制注册表权限、部署应用白名单。该技术虽具合法调试用途,但需注意使用边界。了解此类攻击原理对构建有效防御至关重要,普通用户应保持系统更新并警惕程序异常行为。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值