本期主講老師:陳鑫傑
👉聊聊網絡安全那些事兒:何為網絡安全?何為滲透測試?
歡迎來到《網絡安全攻防第1課》!大家好,我是本次的授課講師陳鑫傑。網絡安全行業現在人才缺口非常大,未來會更大。如果有志從事網絡安全工作,現在就要打好技術基礎,未來一定是核心技術至上。
安全技術崗,一般都從滲透測試做起,因為offer選擇機會多,薪水起點也很高。
全球 IT 基礎設施已發生了巨大的變革,AI 人工智能、Big Data 大數據、Cloud 雲計算、5G 物聯網等新一代信息技術快速崛起,各類攻擊事件頻頻發生:數據被竊取、網站被植入木馬、業務系統被攻擊下架…
很多單位開始花了幾十上百萬變着花樣買安全設備;組建安全團隊,招各種各樣的安全工程師;也做了很多管理工作,寫了很多安全規範...但收效甚微。
根本原因是,傳統的安全防禦思路是靜態/被動防禦,而實際攻防是一個持續對抗的動態過程。只有以攻促防,採用入侵者的戰術、技術、流程,來檢驗潛在威脅並採取應急響應機制,才能最終幫助企業真正提高整個安全建設、安全運營、安全管理等能力。這,就是滲透測試。
Web滲透測試( PenetrationTest)就是模擬黑客對目標服務器、Web應用程序和相應的軟硬件設備配置的安全性進行測試,測試大致可分為三個階段:信息收集、漏洞發現以及漏洞利用。
學習滲透測試,就是在模擬「攻」和「防」。很多人對滲透感興趣,就自己找一些相關書籍來看,也在電腦上折騰了很久,最後卻感覺沒啥收穫,或者只懂理論「皮毛」而完全不會實操實戰。❗❗你真的懂Web滲透測試嗎?今天就從三個層面詳細聊一聊,如何成為一名真正的安全滲透測試工程師。
以上這些問題,大部分安全新人都有過,我們先給出結論,那就是:Web安全不等於滲透測試,Web 安全僅僅是滲透測試的一個小分支。要理解這張圖,首先要清楚「滲透測試」的定義和工作範圍,例如什麼是滲透測試呢?簡單來說:滲透測試(Penetration test)即安全工程師模擬黑客,在合法授權範圍內,通過信息搜集、漏洞挖掘、權限提升等行為,對目標對象進行安全測試(或攻擊),最終找出安全風險並輸出測試報告。從上面這句話可以看出,我們並沒有對「目標對象」進行範圍限制,而當前人類的 IT 基礎設施就涵蓋了Web、移動、雲計算、物聯網、大數據、人工智能等各個領域,這樣的話,滲透測試的對象有可能是企業網站、業務系統、移動 APP、WiFi 熱點、Docker 容器、AI 機器人……簡單來講,根據不同目標對象,滲透測試可以細分為Web滲透測試、內網滲透、移動APP滲透、無線滲透……因此,滲透測試的核心思想,其實就是一個,即:萬物皆可 Hack !基於以上,我們就知道, 「Web 安全」僅僅是是圍繞 Web 技術進行展開,研究Web客戶端、Web服務端、數據庫、通信協議等安全性問題。當然,由於Web安全滲透測試方向對於新人更加友好,學起來輕鬆,也比較容易找到工作,所以話題度更高,就自然有人覺得滲透測試就等於Web安全了。那重點來了,既然Web安全滲透測試更容易入門,有什麼推薦的學習路線及方法呢?首先,我們需要了解「Web 技術架構圖」,對Web前後端架構有個整體認知:也就是說,當我們要深入Web安全滲透測試時,首先,得先掂量下,自己是否具備這些前置知識:是否了解過 HTTP 協議原理?例如用抓包軟件分析過 HTTP請求和響應包有什麼內容?(Web通信協議)是否能看懂網頁源碼,或者用 HTML / CSS / JavaScript 做過前端頁面?(Web前端)是否清楚什麼是 MVC/MTV 架構,或者用 Python / PHP / Java 做過後端架構?(Web後端 )是否了解過常見的 Web容器/中間件,或者用過 Apache / Nginx / Tomcat?(Web容器)是否掌握任一常見的數據庫技術,包括但不限於 MySQL / SQLsever / Oracle?(數據庫)如果真的掌握了以上這些 Web 技術,搞懂了網站前後端原理,甚至在代碼層面能親手開發出來,就能理解這樣的一個Web安全滲透測試圖:由於有 Web 前端語言基礎,那麼學 XSS 和 CSRF 漏洞會很快(客戶端安全)由於有 Web 後端語言基礎,那麼會很快搞定 Webshell木馬、文件上傳、代碼執行等漏洞(服務端安全)由於有 數據庫 SQL 語言基礎,那麼你學 SQL 注入漏洞或者搞手工注入會感到輕而易舉(數據庫安全)總而言之,Web安全滲透測試技術,首先是建立在 Web 技術之上的,繞開這些技術談安全談滲透,那便是 "空中樓閣"。有了以上鋪墊,這裡就正式提供一個經典的Web安全滲透測試學習路線圖,是這樣的->很多同學問,如何快速地建立一個網絡安全的知識體系?又或者是,一個白帽子黑客的知識體系應該怎麼樣?學習前期,還是需要有一些計算機功底,比方說網絡技術、操作系統、網站開發、編程語言等等。別小看這麼基礎的技能,這些很大程度會決定你未來在安全領域發展的天花板。如果你本身從事網工運維、或者程序開發,學起來會更加得心應手。在學完這些基礎之後,你要馬上去做的一個事情是什麼呢?要去了解一些安全模型和框架(紅藍隊都有很多),比如PTES、CKC、ATT&CK。通過這些模型和框架,你可以提前知曉作戰路徑、戰術、執行規範等。為普及網絡安全行業技術,51CTO聯合國內一線網絡安全實戰專家陳鑫傑老師,深度結合國內一線互聯網、網絡安全、政企單位的安全項目需求,經過為期1年的打磨與迭代,共同研發推出了這套深入淺出的網絡安全職業實戰直播課程《網絡安全攻防第1課》。這門課真正能夠幫助你科學體系化地學習前沿安全技能,輕鬆進入安全行業。本安全體驗營涵蓋網絡安全入門指南、安全等保2.0、Kali Linux滲透測試、互聯網業務安全實戰、情報搜集與反詐騙實戰等多個熱門前沿安全專題。我們的主講老師陳鑫傑老師,具有多年一線互聯網、金融 、政府等安全實戰項目經驗,擅長網絡安全、Web安全、滲透測試、數字取證等領域,曾主導多個國土、電力等千萬級項目;是全國多個地區的網警技術顧問,較早將網絡安全技術應用於反詐防騙領域,多次協助警方破獲大型詐騙團伙。得益於多年跨領域跨行業的網絡安全實踐經驗,與各種黑灰產和電信詐騙的「貼身肉搏」經驗,陳老師能夠帶領大家以」黑客「視角來學習安全知識,從原理到實踐,從攻擊到防禦,真正做到「知己知彼」,而非「紙上談兵」。本訓練營涵蓋大量實戰實操項目,幫助學員快速掌握網絡安全工具和實操技術,在生動的案例中對網絡安全工作產生最直觀的體驗。不僅如此,本安全體驗營採用項目實戰驅動的教學模式,授課老師結合自己在互聯網大廠業務安全、網警反黑灰產等領域的經驗,分享以下安全攻防案例:51CTO《高級網絡安全工程師》課程優勢👉
① 科學體系的課程設計
② 詳細完善的教學課件
③ 貼近實戰的攻防靶場
④ 用心到位的售後服務
留言列表