一般还是建议参加培训,入门的培训班,都是学习web渗透的,主要就是学习入侵,各种利于漏洞工具。大都是熟练掌握了渗透测试流程,利用现有公开漏洞,熟悉使用大多数黑客工具什么burpsuite,sqlmap,awvs,Nmap,蚁剑这些,老师主要教这些基础。
web安全渗透是目前网络安全行业里招聘岗位最多的,简单易上手确实吸引了大批水平参差不齐的人员,但是高水平的web安全人员从来都是稀缺,可以说是极其缺乏,因为太需要综合知识,熟悉各种web开发语言,脚本,数据库,主流的各种cms,框架等,没个三五年经验真不行。
入门很容易,自学就可以,网上买点便宜教程甚至白嫖都可以入门,但是想精通很难,没有三五年积累磨炼无法成专家,而且还不包括纯工作时间,所以做安全很容易做黑产灰产也是形势所迫。
其中渗透测试岗位内卷严重,所有应聘的新人简历差不多,很多公司招人看见培训机构出来的基本简历扔一边。蓝队运维安服岗又主要看经验,我遇到过应聘说自己熟练渗透技术但是却连中间人攻击用。dns欺骗都不懂,知识面太窄,有些还不如纯自学出来的脚本小子,至少自学能力强,值得快速培养。
网络安全行业的人才缺口大,但是不等于真正的需求多,而是缺乏需要技术实力强的人。特别是没有学历,学出来你可能连个it网管的工作都找不到,以为培训了几个月就入行安全这行了,会眼高手低的不脚踏实地,反而心态不好了。
企业用人要的都是有经验的或者是大厂喜欢进好学校校招。题主问到的去哪儿学,我也不好推荐自家的培训部门如何,只能说我们一直是实战项目和教学相结合。
网络安全更偏向于“实战”,因此对技术在广度上有更高的要求,从系统,网络,服务器环境,各类应用、数据库等、到防护设备等等都需要熟悉了解。更偏向黑客专家,将各种技术融会贯通以用于“实战”。说说几点建议吧。
首先打好基础第一步:计算机基础
这第一步,其实跟网络安全关系都不太大,而是进入IT领域的不管你是什么技术方向最好都好好学的技术,建议参考各类基础网络书籍。
第二步:编程能力
有了上面的一些基本功后,这个时候就需要动手,来写点代代码脚本,安全行业的从业者都最好能掌握的语言 Shell脚本,掌握常用的Linux命令,能编写简单的Shell脚本,处理一些简单的事务。
C语言(C++可选),Python语言帮助你理解底层,Python是帮助编写网络、爬虫、数据和图像处理 软件。是程序员,尤其是黑客们非常热爱的编程语言。
第三步:安全初体验
有了前面两步的打底,是时候接触一些网络安全的技术了,这个阶段,我的建议是:广泛涉猎!
网络协议攻击、Web服务攻击、浏览器安全、漏洞攻击、逆向解、工具开发都去接触一下,知道这是做什么的,在这个过程去发现自己的兴趣,网安全各种领域的技术都有初步的认识。
第四步:分方向
慢慢发现自己 的兴趣点,喜欢上做各种工具的开发,是喜欢攻破网站,还是痴迷于主机电脑的攻击这个时候就可以思考自己后面的方向,然后精力开始聚焦在这个上面。
学习方法就是要要多写代码,阅读优秀开源代码,二样本,编写EXP等等,渗透测试多拿网站练手,记得要合法授权。这样对于以后进大厂,进入细分岗位可以更清晰的选择适应。
最后说下考证的问题。
1、如果考虑信息安全从业的话,不要考cisp。去尝试CISSP吧。从投资效益比来说,cisp含金量没有CISSP高,培训考试什么的也没便宜多少。知识体系健全度差很多。
2、除了BAT公司,其他甲方公司的安全部门人不会那么多,也不会太受重视,毕竟不是业务部门。推荐行业为金融行业安全从业。面对监管和实实在在的风险,有重视安全的基础。
3、CISSP,CISA如果说在甲方有实际用途的话,是拓宽你的视野,我不相信一个大学毕业生如果直接进甲方公司,会做好安全。但是你熟读CISSP的话,哪怕只是掌握里面的名词,没有实际做过,和你沟通安全方面的问题会轻松很多。并且你知道去哪里可以找到案例,参考标准等。
4、招聘,跳槽,没有证书会很困难。你需要争取一个进门面试的机会。不管哪个证书,规划好时间,去考一个吧。哪怕是纸上谈兵,也比谈都谈不起来强。
5、黑客,渗透测试什么的,跟你说的证书没关系。天分+热爱才能成为一个好的白帽子。最近白帽子比较火,各公司控人也是很高价格。有的公司会走进一些误区。认为招几个牛叉的人进来就能防住漏洞的。其实更适合的是招聘一个懂安全开发流程的人,帮忙减少一些漏洞来的实际。
6、总结:证书没你想象的那么神奇,立即加薪升职人生巅峰。只是在不经意间,会给你加一些分。