网络安全攻防学习路线指南

网络安全攻防学习路线指南

第一阶段

目标

具备管理和维护小型办公网络安全，并可以制作和维护简单网页的能力。

知识点

（1）VMware Workstation

（2）Windows Server

（3）用户安全管理

（4）NTFS权限管理

（5）文件服务器

（6）磁盘管理

（7）备份与灾备

Windows网络服务

（1）配置DNS服务

（2）配置DHCP服务

（3）搭建WEB站点

（4）搭建FTP服务

（5）VPN远程访问技术

（6）Email邮件技术

域与活动目录

（1）活动目录

（2）域控管理

（3）组策略应用

（4）安全策略应用

（5）PKI与证书服务

网络基础与协议

（1）网络概述

（2）OSI协议簇

（3）模拟器与交换机配置（4）IP地址协议与应用（5）网络层协议与应用（6）静态路由

（7）Arp攻击与欺骗（8）虚拟局域网Vlan （9）单臂路由与VTP

高级网络技术

（1）NS3

（2）三层交换

（3）生成树STP （4）热备份协议HSRP （5）子网划分

（6）访问控制列表ACL

（7）网络地址转换NAT

（8）动态路由协议RIP

（9）动态路由协议OSPF

HTML

（1）创建网页

（2）基本的语法规范

（3）Html标签

（4）Html表格

（5）网页之间的链接与跳转

（6）表单与内嵌框架

第二阶段

目标

能够独立部署并管理Linux系统服务；能够实现企业级服务应急响应处理能力；能够完成自动化管理和安全加固。

知识点

（1）目录结构分析与基础命令操作

（2）编辑器的使用与软件安装分析软件安全性

（3）用户安全管理权限管理

（4）磁盘管理，磁盘阵列

（5）备份与灾备

Linux 网络服务

（1）配置DNS服务

（2）搭建WEB站点

（3）搭建文件服务

（4）VPN远程访问技术

（5）Postfix邮件技术

（6）Squid代理服务

（7）集群服务

MySQL 数据库

（1）数据库基本概念

（2）数据库的安装与使用

（3）常见运算符和函数

（4）数据库综合管理

（5）数据库远程连接

（6）phpmyadmin

Linux 系统中的防火墙技术

（1）Xinetd技术轻量级服务管理限制（2）Hosts主机防火墙规则设置（3）Iptables防火墙规则设定

SHELL 自动化脚本

（1）脚本编写规则

（2）正则表达式在脚本中的运用（3）远程交互式脚本编写

Python

（1）基本语法

（2）变量定义

（3）数据类型和判断语句

（4）循环语句

（5）文件对象

（6）函数

（7）模块调用

（8）实用型脚本编写

第三阶段

目标

从开发的角度制作留言板等项目，再运用安全的眼光识别漏洞，为后续渗透打基础。

知识点

（1）PHP基础

（2）变量基础

（3）数据类型与转换

（4）运算符与流程控制

（5）数组

（6）变量常量

正则表达式

（1）正则表达式的语法规则

（2）定界符

（3）普通字符

（4）元字符

（5）模式修正符

文件与目录的操作

（1）判断普通文件和目录

（2）文件的属性

（3）目录的基本操作

（4）文件的基本操作

（5）文件的上传下载

第四阶段

目标

能够独立完成渗透测试项目；能够独立完成安全加固。知识点

（1）SQL注入

（2）XSS攻击

（3）CSRF漏洞

（4）文件上传绕过

（5）文件包含漏洞

（6）任意代码执行

（7）业务逻辑漏洞

（8）服务器提权

工具使用

（1）AWVS/APPSCAN 漏洞扫描器

（2）BurpSuite

（3）Sqlmap

WEB攻防实战

（1）SRC漏洞挖掘

（2）针对WEB站点渗透测试

（3）企业级渗透测试

（4）众测项目

【推荐书籍】

网络攻防技术与实战：深入理解信息安全防护体系作者：郭帆

京东

Python黑客攻防入门

作者：[韩]赵诚文，[韩]郑暎勋

京东

Web安全攻防：渗透测试实战指南作者：徐焱，李文轩，王东亚

京东

Web攻防之业务安全实战指南

作者：陈晓光胡兵张作峰等

京东