通常来讲呢, 参加那种关于web渗透的入门培训班还是比较被所建议的, 其重点在于学习进行入侵这个动作, 以及各种用来利用漏洞的工具。多数情况下, 学员将会熟练把握渗透测试的流程, 借助现有的公开漏洞, 并且要熟悉去使用诸如awvs、Nmap、蚁剑这类的大多数黑客工具, 而培训老师主要传授的就是这些方面的基础内容。
Web安全渗透, 在当下网络安全行业里, 是招聘岗位数量最多的, 其简单且易于上手, 这的确吸引了大量人员, 然而这些人员水平参差不齐, 但是, 高水平的Web安全人员向来都是稀缺的, 甚至可以说是极其缺乏的, 这是由于它太需要综合知识, 得熟悉各类Web开发语言, 脚本, 数据库, 以及各种主流的CMS, 框架等, 没有三五年经验是真的不行。
最开始踏足进去是比较简单的, 自己去学习就行, 在网络上购买些价格较为低廉的教程, 甚至不花一分钱免费获取也能够开启入门之路。然而, 要是想着达到精通的程度, 是极为困难的, 没有历经三到五年的积累打磨是不可能成为专家的, 并且这其中还不涵盖纯粹用于工作的时间。所以说, 从事安全领域相关事宜是相对轻松的, 而投身于黑产灰产那也是受到当前形势的逼迫。
首先, 渗透测试岗位存在着极为严重的内卷现象, 所有前来应聘的新人, 其简历几乎相差无几。在诸多公司进行招人时, 一旦看到是从培训机构出来的候选人, 基本就会把他们的简历直接扔到一边。其次, 蓝队运维安服岗又主要侧重于看求职者的经验。有一次我碰到过这样一位应聘者, 其声称对于渗透技术十分熟练, 然而当实际询问时, 却连中间人攻击以及dns欺骗这些基础内容都全然不知, 可见其知识面极为狭窄。甚至有些从培训机构出来的人员, 还比不上那些完全靠自学成长起来的脚本小子, 起码脚本小子之人自学能力较强,故而值得被快速培养。
网络安全行业存在人才缺口, 然而这并不等同于实际需求多, 而是缺少具备强大技术实力的人。尤其是没有学历的情况下, 即便学出来, 或许连一份it网管的工作都难以获得。有些人认为经过几个月培训就能进入安全行业, 会变得眼高手低, 不踏实做事, 进而心态变差。
企业用人所需要的, 皆是具备经验的, 或者是那些倾向于进入大厂, 偏好 通过好学校校招途径的人员。对于题主所询问的去哪里学习这一问题, 鉴于情况, 我难以去推荐自家的培训部门究竟怎么样, 只能表明, 我们的模式一直以来都是将实战项目与教学相互结合的状态。
网络安全更倾向于“实战”, 所以对于技术在广度方面有着更高的要求。从系统, 网络, 服务器环境, 各类应用、数据库等, 再到防护设备等等, 均需要熟悉知晓。更倾向于黑客专家, 把各种技术融会贯通从而使其可用于“实战”。阐述几点建议吧。
首先打好基础第一步:计算机基础
第一步这不, 实际上和网络安全关联较小, 反而是进入IT领域的, 不论你是何种技术方向, 最好都要好好学习的技术, 建议参照各类基础网络相关书籍。
第二步:编程能力
基本功具备之后, 此刻就得着手, 撰写代代码脚本, 安全领域从业者都应当掌握的语言, Shell脚本, 熟悉常用Linux命令能够编写简易Shell脚本, 处理些许简单事务。
有的编程语言, 比如C语言(这儿C++也可以选), 它能帮你去理解底层, 这还能帮着编写那种关于网络、爬虫、数据以及图像处理方面的软件, 它可是程序员, 特别是黑客们特别热爱的一种编程语言。
第三步:安全初体验
基于之前两步奠定基础, 而今应当着手接触一部分网络安全的技术, 在这个阶段, 我的建议是: 进行广泛的涉猎探索!
去接触一下网络协议攻击, 去接触一下Web服务攻击, 去接触一下浏览器安全, 去接触一下漏洞攻击, 去接触一下逆向解, 去接触一下工具开发, 了解这都是做什么的, 借着这个过程去发现自己的兴趣, 对网络安全各个领域的技术都有初步的认识。
第四步:分方向
渐渐发觉自身的兴趣所在, 对开展诸多工具的开发萌生喜爱之情, 是钟情于突破网站, 抑或是着迷于针对主机电脑发起袭击, 此刻便能思索自身后续的方向, 进而将精力开始集中于这上面。
用于学习的方法是, 要多多去编写代码, 要阅读那些优秀的开源代码, 要进行二样本的操作, 要去编写EXP等等, 对于渗透测试而言, 要多借助网站进行实践练习, 并且要记住, 一定要有合法的授权。如此这般, 对于往后进入大厂, 对于进入细分岗位而言可以更清晰地做出选择并适应。
最后说下考证的问题。
1、假使思索信息安全从业这方面, 千万别考cisp。那就去试试CISSP吧。就投资效益比而言, cisp的含金量比不上CISSP, 培训考试之类的也没便宜多少。知识体系健全程度差好多。
2、除去BAT公司不算, 别的甲方公司的安全部门人员数量不会那般多, 也不会受到特别大的重视, 毕竟它并非业务部门。推荐的行业是金融行业安全从业。面对监管以及切实存在的风险, 有着重视安全的根基。
3、若说CISSP、CISA在甲方有实际用途的话, 那便是拓宽视野了, 我可不相信一个直接进入甲方公司的大学毕业生能做好安全工作。然而, 要是你熟读CISSP, 哪怕仅仅掌握其中的名词, 未曾实际操作过, 与你沟通安全方面的问题也会轻松许多。而且, 你还知道去哪里能找到案例、参考标准等。
4、招工, 换岗, 少了证书会极艰难。你得努力获取一个开场面谈的时机。不论哪种证书, 安排好时间, 去考取一个吧。就算只是理论空谈, 也比连说都没机会说要强。
5、黑客、渗透测试之类的, 和你讲的证书没关联。只有天分加上热爱, 才能够成为一名出色的白帽子。近来白帽子颇为热门, 各个公司招人给出的价格也很高。有些公司会陷入一些误区。觉得招来几个厉害的人就能防范住漏洞。实际上更合适的是招聘一个懂得安全开发流程的人, 协助减少一些源自实际的漏洞。
6、总结, 证书并非如你所想那般神奇, 能即刻带来加薪、升职, 直达人生巅峰。它只是于不经意之时, 会给你增添一些分数。
