网络安全预习课程笔记(四到八节)

简介: 网络安全领域的岗位多样化,包括应急响应、代码审计、安全研究、工具编写、报告撰写、渗透测试和驻场服务等。其中,应急响应处理系统故障和安全事件,代码审计涉及源码漏洞查找,安全研究侧重漏洞挖掘,工具编写则要开发自动化工具,报告撰写需要良好的写作能力。渗透测试涵盖Web漏洞和内网渗透。岗位选择受公司、部门和领导的影响。此外,还可以参与CTF比赛或兼职安全事件挖掘。了解不同岗位职责和技能需求,如安全运维工程师需要熟悉Web安全技术、系统加固、安全产品和日志分析等。同时,渗透测试包括信息收集、威胁建模、漏洞分析、攻击实施和报告撰写等步骤。学习网络安全相关术语,如漏洞、木马、后门等,有助于深入理解和学习。

前言

版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。                

原文链接:https://blog.csdn.net/weixin_72543266/article/details/132388935

笔记的内容思维导图

image.gif

1.我们能做什么?(上)

1.1岗位:

应急响应:系统访问不了啦,被黑客入侵了或操作不当引起的信息泄露…     蓝队

现场讲课:客户需要安全培训…  作讲师

代码审计:需要对系统进行白盒代码审计… (源码公开,需要从源码找漏洞,要求编程能力非常强)           编程语言——》精通0day

安全研究:漏洞挖掘、各种研究… 要有编程能力,偏向与研究

工具编写:编写各种EXP/POC自动化Py代码…  要有开发工具的能力,能够对发现的漏洞进行编写工具,批量检测

报告撰写:应急报告、渗透报告、漏洞验证报告…——》在有网络安全的基础上,文笔比较好,或是进行漏洞审核

渗透测试:Web漏洞、内网渗透…——》漏洞挖掘  或 攻防演练  大部分偏向于这个

驻场服务:去客户那里上班、外派出去服务,如:护网行动!薪资待遇较高,但时间不会太长

CTF比赛:强网杯、XCTF、网鼎杯、各种CTF.…兼职二进制  在校感兴趣的话可以学习学习,打打比赛,进行兼职

新洞跟进:复现中间件漏洞、CMS漏洞、数据库漏洞、操作系统漏洞

最后主要取决于:……取决你的公司、你的部门、你的领导

1.2作业:

这里介绍的都只是少部分的相关网络安全的岗位,可以花时间去收集一下有关网络安全的相关工作岗位,以及薪资待遇情况,方便后续学完之后的就业,同时可以了解从事相关岗位需要了解和学习哪些相关知识。

这里我做了一个简单的示例。

image.gif

  • 安全运维工程师
  • 职位描述:
  • 服务器与网络基础设备的安全加固;
  • 安全事件排查与分析,配合定期编写安全分析报告,专注业内安全事件;
  • 跟踪最新漏洞信息,进行业务产品的安全检查;
  • 负责信息安全策略/流程的制定,安全培训/宣传及推广;
  • 负责Web漏洞和系统漏洞修复工作推进,跟踪解决情况,问题收集。
  • 职位要求:
  • 熟悉主流的Web安全技术,包括SQL注入、XSS、CSRF等OWASP TOP 10安全风险;
  • 熟悉Linux/Windows下系统和软件的安全配置与加固;
  • 熟悉常见的安全产品及原理,例如IDS、IPS、防火墙等;
  • 掌握常见系统、应用的日志分析方法;
  • 熟练掌握C/PHP/Perl/Python/Shell等1或多种语言;
  • 具有安全事件挖掘、调查取证经验;
  • 网络基础扎实,熟悉TCP/IP协议,二层转发和三层路由的原理,动态路由协议,常用的应用层协议;
  • 较好的文档撰写能力、语言表达和与沟通能力。
  • 薪资待遇
  • 10k-20k

2.我们能做什么(兼职)?(下)

2.1.ctf--》兼职

这是我已知的一些ctf平台:

2.2赏金猎人--》挖漏洞--》src平台

这是我搜集的一部分挖掘平台:

image.gif

2.3作业:

了解各大厂商的SRC,同时关注一些你感兴趣的SRC,因为有些SRC会不定期的举行活动,赏金翻倍哦,或者有新人福利。

3.什么是渗透测试?

3.1渗透测试的定义

3.1.1渗透测试的内容

渗透测试PenetrationTesting),就是一种通过模拟恶意攻击者的技术与方法,挫败目

标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全

测试与评估方法

3.1.2三种渗透类型

1.黑盒:直接给你一个目标,没有任何信息,去攻击。

2.白盒:会给你源码和账号密码等信息去直接进行测试。

3.灰盒:前两者两者都有,会给你一个环境之类的。

3.2渗透流程

1交互:与客户谈相关的报酬或其他事宜。

2.信息收集:搜集一些目标的相关资产信息。

3.威胁建模:停下键盘,去考虑搜集到的信息有可能会出现什么漏洞什么手段攻击比较好。

4.漏洞分析:有什么漏洞,漏洞的利用方式等等。

4.渗透攻击:通过隐蔽方式攻击后

5.后渗透攻击(内网渗透):去获取目标权限,获取一些权限。

6.撰写报告

3.3渗透目标

1.操作系统:win等

2.数据库:与we网站相关各种数据库

3.应用系统:    web组成应用(搭建网站所使用的一些)

4.网络:网络通信,网络协议,网络设备。

3.4作业:

熟悉渗透测试PTES标准,可以模拟想象一下五一出去玩,利用PTES标准,你的游玩过程是什么样子的嘞,方便我们更好理解性记忆。

4.渗透术语

4.1.渗透测试常见术语

漏洞: 硬件、软件、协议——》缺陷——》未授权——》访问、破坏系统

木马 :获取用户权限的程序或者代码

后门 :后续进行系统留下的隐蔽后门程序

病毒 :破坏——》自动传播

shell :服务器的命令执行环境

webshell: 网站控制权

poc :出现漏洞,通过复现漏洞,验证漏洞的程序或代码

exp :通过poc发现漏洞然后利用漏洞的程序或代码获取权限

肉鸡 :鬼儡机,被控制的机器,可以作为跳板

提权 :权限提升 kali root

......

4.2.作业

1.渗透测试专业名词收集+名词解释+自己理解性记忆

2.形成一份文档

5.总结

通过这几节课的学习,我不仅对于网络安全相关的岗位有了更加清晰的理解,同时对于渗透测试的内容和流程有了模糊的了解,在学习后对于自己能做的事情有了方向和目标。

 对于我来说在学习过程中遇到了很多问题,其中之一就是信息搜集能力和总结能力,自己搜集信息能力较强但总结能力过弱。并且在了解一些渗透术语时,有很多我没有接触过的一些信息理解起来不是很容易,常常需要多去查找一些相关的信息辅助我去了解和学习它。总之我收获到了很多。


每日一言:

人生很是奇妙,有时候自己觉得璀璨夺目,无与伦比的东西,甚至不惜抛弃一切也要得到的东西,过了一段时间或者稍微换个角度再看一下,便觉得它们完全失去了光彩。

相关文章
|
2月前
|
Linux 开发工具 Android开发
FFmpeg开发笔记(六十)使用国产的ijkplayer播放器观看网络视频
ijkplayer是由Bilibili基于FFmpeg3.4研发并开源的播放器,适用于Android和iOS,支持本地视频及网络流媒体播放。本文详细介绍如何在新版Android Studio中导入并使用ijkplayer库,包括Gradle版本及配置更新、导入编译好的so文件以及添加直播链接播放代码等步骤,帮助开发者顺利进行App调试与开发。更多FFmpeg开发知识可参考《FFmpeg开发实战:从零基础到短视频上线》。
211 2
FFmpeg开发笔记(六十)使用国产的ijkplayer播放器观看网络视频
|
2月前
|
机器学习/深度学习 数据可视化 计算机视觉
目标检测笔记(五):详细介绍并实现可视化深度学习中每层特征层的网络训练情况
这篇文章详细介绍了如何通过可视化深度学习中每层特征层来理解网络的内部运作,并使用ResNet系列网络作为例子,展示了如何在训练过程中加入代码来绘制和保存特征图。
68 1
目标检测笔记(五):详细介绍并实现可视化深度学习中每层特征层的网络训练情况
|
2月前
|
机器学习/深度学习 数据可视化 Windows
深度学习笔记(七):如何用Mxnet来将神经网络可视化
这篇文章介绍了如何使用Mxnet框架来实现神经网络的可视化,包括环境依赖的安装、具体的代码实现以及运行结果的展示。
60 0
|
2月前
|
机器学习/深度学习 编解码 算法
轻量级网络论文精度笔记(三):《Searching for MobileNetV3》
MobileNetV3是谷歌为移动设备优化的神经网络模型,通过神经架构搜索和新设计计算块提升效率和精度。它引入了h-swish激活函数和高效的分割解码器LR-ASPP,实现了移动端分类、检测和分割的最新SOTA成果。大模型在ImageNet分类上比MobileNetV2更准确,延迟降低20%;小模型准确度提升,延迟相当。
83 1
轻量级网络论文精度笔记(三):《Searching for MobileNetV3》
|
2月前
|
机器学习/深度学习 网络架构 计算机视觉
目标检测笔记(一):不同模型的网络架构介绍和代码
这篇文章介绍了ShuffleNetV2网络架构及其代码实现,包括模型结构、代码细节和不同版本的模型。ShuffleNetV2是一个高效的卷积神经网络,适用于深度学习中的目标检测任务。
109 1
目标检测笔记(一):不同模型的网络架构介绍和代码
|
2月前
|
机器学习/深度学习 数据采集 算法
目标分类笔记(一): 利用包含多个网络多种训练策略的框架来完成多目标分类任务(从数据准备到训练测试部署的完整流程)
这篇博客文章介绍了如何使用包含多个网络和多种训练策略的框架来完成多目标分类任务,涵盖了从数据准备到训练、测试和部署的完整流程,并提供了相关代码和配置文件。
69 0
目标分类笔记(一): 利用包含多个网络多种训练策略的框架来完成多目标分类任务(从数据准备到训练测试部署的完整流程)
|
2月前
|
编解码 人工智能 文件存储
轻量级网络论文精度笔记(二):《YOLOv7: Trainable bag-of-freebies sets new state-of-the-art for real-time object ..》
YOLOv7是一种新的实时目标检测器,通过引入可训练的免费技术包和优化的网络架构,显著提高了检测精度,同时减少了参数和计算量。该研究还提出了新的模型重参数化和标签分配策略,有效提升了模型性能。实验结果显示,YOLOv7在速度和准确性上超越了其他目标检测器。
59 0
轻量级网络论文精度笔记(二):《YOLOv7: Trainable bag-of-freebies sets new state-of-the-art for real-time object ..》
|
2月前
|
机器学习/深度学习 Python
深度学习笔记(九):神经网络剪枝(Neural Network Pruning)详细介绍
神经网络剪枝是一种通过移除不重要的权重来减小模型大小并提高效率的技术,同时尽量保持模型性能。
74 0
深度学习笔记(九):神经网络剪枝(Neural Network Pruning)详细介绍
|
2月前
|
机器学习/深度学习 算法 TensorFlow
深度学习笔记(五):学习率过大过小对于网络训练有何影响以及如何解决
学习率是深度学习中的关键超参数,它影响模型的训练进度和收敛性,过大或过小的学习率都会对网络训练产生负面影响,需要通过适当的设置和调整策略来优化。
536 0
深度学习笔记(五):学习率过大过小对于网络训练有何影响以及如何解决
|
2月前
|
机器学习/深度学习 算法
深度学习笔记(四):神经网络之链式法则详解
这篇文章详细解释了链式法则在神经网络优化中的作用,说明了如何通过引入中间变量简化复杂函数的微分计算,并通过实例展示了链式法则在反向传播算法中的应用。
87 0
深度学习笔记(四):神经网络之链式法则详解