网络安全预习课程笔记(四到八节)

简介: 网络安全领域的岗位多样化,包括应急响应、代码审计、安全研究、工具编写、报告撰写、渗透测试和驻场服务等。其中,应急响应处理系统故障和安全事件,代码审计涉及源码漏洞查找,安全研究侧重漏洞挖掘,工具编写则要开发自动化工具,报告撰写需要良好的写作能力。渗透测试涵盖Web漏洞和内网渗透。岗位选择受公司、部门和领导的影响。此外,还可以参与CTF比赛或兼职安全事件挖掘。了解不同岗位职责和技能需求,如安全运维工程师需要熟悉Web安全技术、系统加固、安全产品和日志分析等。同时,渗透测试包括信息收集、威胁建模、漏洞分析、攻击实施和报告撰写等步骤。学习网络安全相关术语,如漏洞、木马、后门等,有助于深入理解和学习。

前言

版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。                

原文链接:https://blog.csdn.net/weixin_72543266/article/details/132388935

笔记的内容思维导图

image.gif

1.我们能做什么?(上)

1.1岗位:

应急响应:系统访问不了啦,被黑客入侵了或操作不当引起的信息泄露…     蓝队

现场讲课:客户需要安全培训…  作讲师

代码审计:需要对系统进行白盒代码审计… (源码公开,需要从源码找漏洞,要求编程能力非常强)           编程语言——》精通0day

安全研究:漏洞挖掘、各种研究… 要有编程能力,偏向与研究

工具编写:编写各种EXP/POC自动化Py代码…  要有开发工具的能力,能够对发现的漏洞进行编写工具,批量检测

报告撰写:应急报告、渗透报告、漏洞验证报告…——》在有网络安全的基础上,文笔比较好,或是进行漏洞审核

渗透测试:Web漏洞、内网渗透…——》漏洞挖掘  或 攻防演练  大部分偏向于这个

驻场服务:去客户那里上班、外派出去服务,如:护网行动!薪资待遇较高,但时间不会太长

CTF比赛:强网杯、XCTF、网鼎杯、各种CTF.…兼职二进制  在校感兴趣的话可以学习学习,打打比赛,进行兼职

新洞跟进:复现中间件漏洞、CMS漏洞、数据库漏洞、操作系统漏洞

最后主要取决于:……取决你的公司、你的部门、你的领导

1.2作业:

这里介绍的都只是少部分的相关网络安全的岗位,可以花时间去收集一下有关网络安全的相关工作岗位,以及薪资待遇情况,方便后续学完之后的就业,同时可以了解从事相关岗位需要了解和学习哪些相关知识。

这里我做了一个简单的示例。

image.gif

  • 安全运维工程师
  • 职位描述:
  • 服务器与网络基础设备的安全加固;
  • 安全事件排查与分析,配合定期编写安全分析报告,专注业内安全事件;
  • 跟踪最新漏洞信息,进行业务产品的安全检查;
  • 负责信息安全策略/流程的制定,安全培训/宣传及推广;
  • 负责Web漏洞和系统漏洞修复工作推进,跟踪解决情况,问题收集。
  • 职位要求:
  • 熟悉主流的Web安全技术,包括SQL注入、XSS、CSRF等OWASP TOP 10安全风险;
  • 熟悉Linux/Windows下系统和软件的安全配置与加固;
  • 熟悉常见的安全产品及原理,例如IDS、IPS、防火墙等;
  • 掌握常见系统、应用的日志分析方法;
  • 熟练掌握C/PHP/Perl/Python/Shell等1或多种语言;
  • 具有安全事件挖掘、调查取证经验;
  • 网络基础扎实,熟悉TCP/IP协议,二层转发和三层路由的原理,动态路由协议,常用的应用层协议;
  • 较好的文档撰写能力、语言表达和与沟通能力。
  • 薪资待遇
  • 10k-20k

2.我们能做什么(兼职)?(下)

2.1.ctf--》兼职

这是我已知的一些ctf平台:

2.2赏金猎人--》挖漏洞--》src平台

这是我搜集的一部分挖掘平台:

image.gif

2.3作业:

了解各大厂商的SRC,同时关注一些你感兴趣的SRC,因为有些SRC会不定期的举行活动,赏金翻倍哦,或者有新人福利。

3.什么是渗透测试?

3.1渗透测试的定义

3.1.1渗透测试的内容

渗透测试PenetrationTesting),就是一种通过模拟恶意攻击者的技术与方法,挫败目

标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全

测试与评估方法

3.1.2三种渗透类型

1.黑盒:直接给你一个目标,没有任何信息,去攻击。

2.白盒:会给你源码和账号密码等信息去直接进行测试。

3.灰盒:前两者两者都有,会给你一个环境之类的。

3.2渗透流程

1交互:与客户谈相关的报酬或其他事宜。

2.信息收集:搜集一些目标的相关资产信息。

3.威胁建模:停下键盘,去考虑搜集到的信息有可能会出现什么漏洞什么手段攻击比较好。

4.漏洞分析:有什么漏洞,漏洞的利用方式等等。

4.渗透攻击:通过隐蔽方式攻击后

5.后渗透攻击(内网渗透):去获取目标权限,获取一些权限。

6.撰写报告

3.3渗透目标

1.操作系统:win等

2.数据库:与we网站相关各种数据库

3.应用系统:    web组成应用(搭建网站所使用的一些)

4.网络:网络通信,网络协议,网络设备。

3.4作业:

熟悉渗透测试PTES标准,可以模拟想象一下五一出去玩,利用PTES标准,你的游玩过程是什么样子的嘞,方便我们更好理解性记忆。

4.渗透术语

4.1.渗透测试常见术语

漏洞: 硬件、软件、协议——》缺陷——》未授权——》访问、破坏系统

木马 :获取用户权限的程序或者代码

后门 :后续进行系统留下的隐蔽后门程序

病毒 :破坏——》自动传播

shell :服务器的命令执行环境

webshell: 网站控制权

poc :出现漏洞,通过复现漏洞,验证漏洞的程序或代码

exp :通过poc发现漏洞然后利用漏洞的程序或代码获取权限

肉鸡 :鬼儡机,被控制的机器,可以作为跳板

提权 :权限提升 kali root

......

4.2.作业

1.渗透测试专业名词收集+名词解释+自己理解性记忆

2.形成一份文档

5.总结

通过这几节课的学习,我不仅对于网络安全相关的岗位有了更加清晰的理解,同时对于渗透测试的内容和流程有了模糊的了解,在学习后对于自己能做的事情有了方向和目标。

 对于我来说在学习过程中遇到了很多问题,其中之一就是信息搜集能力和总结能力,自己搜集信息能力较强但总结能力过弱。并且在了解一些渗透术语时,有很多我没有接触过的一些信息理解起来不是很容易,常常需要多去查找一些相关的信息辅助我去了解和学习它。总之我收获到了很多。


每日一言:

人生很是奇妙,有时候自己觉得璀璨夺目,无与伦比的东西,甚至不惜抛弃一切也要得到的东西,过了一段时间或者稍微换个角度再看一下,便觉得它们完全失去了光彩。

相关文章
|
2月前
|
机器学习/深度学习 计算机视觉 知识图谱
【YOLOv8改进】MobileViT 更换主干网络: 轻量级、通用且适合移动设备的视觉变压器 (论文笔记+引入代码)
MobileViT是针对移动设备的轻量级视觉Transformer网络,结合CNN的局部特征、Transformer的全局注意力和ViT的表示学习。在ImageNet-1k上,它以600万参数实现78.4%的top-1准确率,超越MobileNetv3和DeiT。MobileViT不仅适用于图像分类,还在目标检测等任务中表现出色,且优化简单,代码已开源。YOLOv8引入了MobileViT块,整合卷积和Transformer结构,提升模型性能。更多详情可参考相关专栏和链接。
|
9天前
|
网络协议 网络性能优化 网络虚拟化
《计算机网络》期末复习笔记
《计算机网络》期末复习笔记
|
13天前
|
网络协议 安全 网络安全
软考中级之数据库系统工程师笔记总结(五)网络基础
软考中级之数据库系统工程师笔记总结(五)网络基础
10 0
|
1月前
|
JavaScript Java 测试技术
基于ssm+vue.js+uniapp小程序的计算机网络课程试卷生成器附带文章和源代码部署视频讲解等
基于ssm+vue.js+uniapp小程序的计算机网络课程试卷生成器附带文章和源代码部署视频讲解等
18 2
|
21天前
|
Web App开发 自然语言处理 算法
一文搞懂:【论文笔记】BINE:二分网络嵌入
一文搞懂:【论文笔记】BINE:二分网络嵌入
15 0
|
21天前
|
存储 缓存 网络协议
技术笔记:socket网络实现
技术笔记:socket网络实现
|
2月前
|
机器学习/深度学习 存储 测试技术
【YOLOv8改进】 YOLOv8 更换骨干网络之 GhostNet :通过低成本操作获得更多特征 (论文笔记+引入代码).md
YOLO目标检测专栏探讨了卷积神经网络的创新改进,如Ghost模块,它通过低成本运算生成更多特征图,降低资源消耗,适用于嵌入式设备。GhostNet利用Ghost模块实现轻量级架构,性能超越MobileNetV3。此外,文章还介绍了SegNeXt,一个高效卷积注意力网络,提升语义分割性能,参数少但效果优于EfficientNet-L2。专栏提供YOLO相关基础解析、改进方法和实战案例。
|
1月前
|
Unix Python
Python基础教程(第3版)中文版 第14章 网络编程(笔记)
Python基础教程(第3版)中文版 第14章 网络编程(笔记)
|
2月前
|
JavaScript Java 测试技术
Java项目基于ssm+vue.js的网络类课程思政学习系统附带文章和源代码设计说明文档ppt
Java项目基于ssm+vue.js的网络类课程思政学习系统附带文章和源代码设计说明文档ppt
22 0
|
2月前
|
机器学习/深度学习 数据可视化 计算机视觉
【YOLOv8改进】MCA:用于图像识别的深度卷积神经网络中的多维协作注意力 (论文笔记+引入代码)
YOLO目标检测专栏介绍了YOLO的创新改进和实战案例,包括多维协作注意力(MCA)机制,它通过三分支架构同时处理通道、高度和宽度注意力,提高CNN性能。MCA设计了自适应组合和门控机制,增强特征表示,且保持轻量化。该模块适用于各种CNN,实验证明其在图像识别任务上的优越性。此外,文章还展示了如何在YOLOv8中引入MCA层的代码实现和相关任务配置。

热门文章

最新文章