前言

亲爱的安全客小伙伴们，新型冠状病毒肺炎疫情期间大家近况可好～

2020年春节期间，想必大家跟小编我一样，经历了1月初的全国口罩疯狂抢购赛、1月23日武汉封城、回家之后不走亲不聚会、每天跟家人普及安全知识、时刻关注疫情动态，同时靠看剧麻将王者打发时间，直到现在进入了远程办公阶段。

这时候小编就想问了，大家的远程办公状态如何？

我知道肯定有很多小伙伴跟我一样在家经受不住手机零食躺尸的咸鱼诱惑，但内心的理智告诉我们，这是不对的！！！

所以小编给大家整理了一篇网络安全人员学习入门合集。

本文从网络安全人员学习成长角度出发，总结了包含网络安全工具总结、概念普及、漏洞学习、渗透测试、黑灰产等全方位知识方向，内容包括实战演练、技能提升、行业动态、学术论文、学习渠道等各类精华文章，同时我们把总结范围瞄准了全网的优质内容，希望能在春节远程办公期间对大家有所帮助。

疫情仍未消散，我们也更应奋起向前，以顽强拼搏之态，做精神世界的奋斗者。答应我，不要仅仅只是单纯的点赞和收藏哦～如果对以下总结有更多补充，欢迎留言哦。

 

知名安全工具

工欲善其事必先利其器，现在，安全研究者对网站或者应用程序进行渗透测试而不用任何自动化工具似乎已经越来越难。因此选择一个正确的工具则变得尤为重要，正确的选择甚至可以占到渗透测试成功的半壁江山。

十大黑客常用渗透测试工具

 

安全新时代你不得不知道的一些概念

威胁情报

现今随着信息的发展，越来越需要拥有网络威胁情报的能力，并且要有足够的情报分享能力，针对情报进行制定相应安全策略。

威胁情报专栏：威胁情报标准——结构化威胁信息表达式（STIX）

 

ATT&CK

Google趋势显示，一个带着奇怪的“＆”符号的词语——ATT＆CK非常受欢迎。但是，MITRE ATT＆CK™的内涵是什么呢？为什么网络安全专家应该关注ATT＆CK呢？

一文看懂ATT&CK框架以及使用场景实例

 

SOAR

SOC（安全运营中心）的概念和应用已经过有了很多年但业内人熟知，SOC在中国的应用非常不成功，被人诟病。直到威胁情报、大数据、机器学习技术的引进，借助态势感知的大潮，新一代SOC，或称iSOC（智能SOC）开始兴起。

APT防护十年：终于有人把SOAR这件事讲清楚了

 

Web安全漏洞学习

漏洞分析

该博客深入浅出的讲解了包含PHP漏洞、Python漏洞、XXE漏洞、SSTI漏洞等在内的各类漏洞分析。干货满满，不容错过～

K0rz3n’s Blog

sql注入

该篇包含了MySQL 基础知识、MySQL 报错注入、宽字节注入等等系列知识以及CTF题目案例分析，值得学习哦～

史上最水的MYSQL注入总结

xss总结

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

xss总结

二进制

二进制——漏洞攻防中的不可说与不可不说

认识二进制安全与漏洞攻防技术 （Windows平台）

 

 

安全与机器学习、AI

在这一篇文章里，主要介绍Attack AI，即黑客对AI发起的攻击。

AI与安全：AI与安全「2」：Attack AI（1）总述

 

安全与数据分析

安全数据分析平台主要由大数据框架、安全数据和安全算法组成，如果把安全大数据分析平台比作是一个人的话，那么大数据框架是骨架，安全数据是血液，安全算法是血管，缺一不可。

安全与数据：企业安全建设之探索安全数据分析平台

 

黑灰产

网络空间中不可不谈黑灰产，2017年，纵观全球网络安全事件，从黑客组织Shadow Brokers泄露NSA的漏洞利用工具EternalBlue，到WannaCry勒索软件席卷全球，从国内58同城简历数据泄露，到国外信用机构Equifax被黑客入侵，黑灰产业蓬勃发展。

威胁猎人：2017年度中国互联网黑产报告

 

暗网

暗网之下是冷冰冰的技术，暗网在中文的语境里，这是一个犹如「月黑风高夜」般的词汇，透着诡秘和犯罪的气息。而与「暗网」关系最密切的另一个词，则非「黑客」莫属。「黑」与「暗」的组合，意味着高超的匿名和隐身技巧，令人忍不住想揭开它精巧的面纱。

密码朋克的社会实验（一）：开灯看暗网

 

渗透测试

渗透测试从入门到入土，方向太多、涵盖甚广、小编列出了主要的几个知识类型，有的是纯粹的技能演示小编就不做过多介绍直接看演示思路即可。相信如果把以下概念以及实操了熟于心之后，你一定会成为一个平平无奇的渗透测试小天才。

流程规范

众所周知，Web应用的渗透测试可分3个阶段：信息搜集、漏洞发现、漏洞利用，但是在给甲方做渗透时就需细化流程。

渗透测试工程师视角下的渗透测试流程

信息收集

信息收集是指通过各种方式获取所需的信息。信息收集是信息得以利用的第一步，也是关键的一步。

攻防视角下的信息收集

漏洞扫描

xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器，支持主动、被动多种扫描方式，自备盲打平台、可以灵活定义 POC，功能丰富，调用简单，支持 Windows / macOS / Linux 多种操作系统，可以满足广大安全从业者的自动化 Web 漏洞探测需求。

长亭xray：一款自动化Web漏洞扫描神器（免费社区版）

防护绕过

利用分块传输吊打所有WAF

网络工具

本系列文章重写了java、.net、php三个版本的一句话木马，可以解析并执行客户端传递过来的加密二进制流，并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。

利用动态二进制加密实现新型一句话木马之客户端篇

提权维持

Windows提权笔记

内网渗透

我所了解的内网渗透——内网渗透知识大总结

实战演练

从外网到域控（vulnstack靶机实战）

 

安全行业的一些证书与考试

OSCP

渗透测试不是一门知识，而是一项技能。如果把渗透测试比喻成游泳，那么学校教我的就是浮力的原理，运动的生理学原理，我在课后还自学了要用什么动作划臂，什么动作踩水。当我毕业时，依旧不会游泳，这是因为学校没有游泳池，我从没下过水。在野外游泳，不仅危险而且违法，而OSCP则给了我们游泳池。

我是如何拿到OSCP认证的？

CISSP

CISSP 英文全称：“ Certified Information Systems Security Professional”，中文全称：“(ISC)²注册信息系统安全专家”，由(ISC)²组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。

为什么考CISSP？用我们领导的话说，可以迅速建立起个人对安全体系的知识框架，认证+读行业标准是最有效的方法。

CISSP考试一次通过指南

 

安全学术圈公号总结

安全行业发展离不开学术土壤与根基

安全学术圈2019年度总结

 

2020已经来临，甚至正在不知不觉中流逝、我们刚经历了大年三十，立春，后天即将迎来元宵、下周又迎来情人节。昨天有人跟我在讨论疫情的时候说：“这个2020是废了”，而我并不认同，无论环境多恶劣，都不是我们不好好生活的借口。

这两天无论是为一线的物资紧缺揪心还是被沙雕网友的春节娱乐逗乐抑或是对这段时间爆出的新闻愤愤不平，作为网络安全人员亦或是普普通通的安全客用户，我们更应该做的是平心静气、不忘努力，不因放假而放弃约束，不因在家而荒废学习。用学习为口嗨付诸行动，为生活注入灵魂。让我们一起加油！

 

文末小活动

欢迎大家留言推荐下自己收藏的好文章，人多力量大，一起分享，收获知识吧

我们将挑选大家推荐的合适的更新到文章中，被选取的留言用户将获得我们送出的安全客雨伞公仔精美礼盒。限量5份。同时随机抽5位走心留言用户赠送安全客定制数据线一份～

截止时间：2020年2月14情人节11:00