2023網(wǎng)絡安全入門指南

網(wǎng)絡安全入門指南2023目錄Contents目錄||·??·??網(wǎng)絡安全行業(yè)解讀|分類·?崗位·?求職網(wǎng)絡安全學習指南|技能·?方法·?資源 聽完本堂課，我希望你能夠了解網(wǎng)絡安全的發(fā)展趨勢掌握網(wǎng)絡安全行業(yè)和崗位分類清晰自己的發(fā)展方向和學習路徑全球網(wǎng)絡安全大事件 卷全球 球 卷全球 昂比特幣費用才能拿到解密秘鑰。（注：即便支付了也沒用）近十年來影響范圍最大的一次黑客攻擊事件，全球共有150多個國家超過30萬臺電腦被感染，波及政府、學校、醫(yī)院、航班、金融等行業(yè)。面前。此勒索病毒基于于445共享端口，微軟漏洞編號為ms17-010。 年月：NSA方程式組織核武器級攻擊庫遭泄露 即美國安全局，而方程式組織（EquationGroup）據(jù)稱是旗下一支技術(shù)高超的黑客組織；本次泄露事件即影子經(jīng)紀人（ShadowBrokers）組織武器庫，并最終拿到部分泄密武器。影子經(jīng)紀人最初希望100萬比特幣公開售賣（接近5億美元），但最終沒有人支付，所以陸續(xù)公開到互聯(lián)網(wǎng)上。（2016年發(fā)布部分，2017年4月14號再次發(fā)布） NSA方程式組織核武器級黑客武器庫遭泄露 席卷全球150個國家的WannaCry病毒僅僅用到武器庫中的“永恒之藍”泄露出來的部分武器庫，包括以下攻擊工具（部分）：永恒之藍） EternalChampion（永恒王者）EternalRomance（永恒浪漫） 翡翠纖維） 古怪地鼠）EsikmoRoll（愛斯基摩卷） 文雅學者）EclipsedWind（日食之翼） 尊重審查）以上工具主要基于Windows135、445、3389等端口進行傳播和攻擊。 NSA武器庫安全檢測與修復 微軟官方武器庫修復補?。∕S17-010）：hs://hn.mirosof.om/zh-n/lirry/suriy/S1700360武器庫免疫工具： 年月至今：CIA武器庫持續(xù)被泄露 美國中央情報局7號軍火庫在維基解密網(wǎng)站上持續(xù)被公開 網(wǎng)絡武器庫泄露 ExpressLane：“快車道”，秘密收集系統(tǒng)數(shù)據(jù)；CouchPotato：“沙發(fā)土豆”，實時遠程監(jiān)控視頻流；Dumbo：“小飛象”，可以暫停攝像頭的進程并破壞相關(guān)視頻記錄；Imperial：“帝國”，針對運行OSX和不同版本的Linux操作系統(tǒng)的計算機；/Raytheon：為CIA遠程開發(fā)部門提供技術(shù)情報；OutlawCountry：“法外之地”，入侵運行有Linux操作系統(tǒng)的計算機；Elsa：“艾爾莎”，利用WiFi追蹤電腦地理位置；Kangaroo：“野蠻袋鼠”，攻擊網(wǎng)閘設備和封閉網(wǎng)絡；BothanSpy：“博薩間諜”，對SSH憑證進行攔截與滲透;CherryBlossom：“櫻花”，攻擊無線設備的框架；Pandemic：“流行病”，文件服務器轉(zhuǎn)換為惡意軟件感染源；Athena：“雅典娜”，惡意間諜軟件，能威脅所有Windows版本；AfterMidnight：“午夜之后”，Winodws平臺上的惡意軟件框架；Archimedes：“阿基米德”，中間人攻擊工具；Scribbles：CIA追蹤涉嫌告密者的程序；Angel：“哭泣天使”，將智能電視的麥克風轉(zhuǎn)變?yōu)楸O(jiān)控工具；Hive：“蜂巢”，多平臺入侵植入和管理控制工具；Grasshopper：“蝗蟲”，針對Windows高度可配置木馬遠控植入工具；MarbleFramework處理、防止被歸因調(diào)查取證）；DarkCIA入侵蘋果和iOS設備的技術(shù)與工具;HighRise：“摩天大樓”，通過短信竊取智能手機數(shù)據(jù)的工具；Angelfire：專門用于感染W(wǎng)indows計算機設備的惡意軟件框架；Protego：“盔甲護身”，導彈控制系統(tǒng)。 月：棱鏡門事件，斯諾登外逃 棱鏡門事件，斯諾登外逃 棱鏡計劃（PRISM）是美國國家安全局從2007”電子監(jiān)聽計劃，項目名稱為“US--984XN”。計劃的前身是911事件之后“恐怖分子監(jiān)聽計劃”，奧巴馬任期內(nèi)一直由美國安全局持續(xù)執(zhí)行。子郵件、社交通信等圖片/語音/視頻信息。愛德華·斯諾登（前職員外包技術(shù)員）于2013年6月在香港6月23號從香港逃往莫斯科，得到俄羅斯庇護。 諾登電影紀錄片推薦 《第四公民》注：第87屆奧斯卡金像獎

《斯諾登》 年月：震網(wǎng)第一個工控蠕蟲病毒 震網(wǎng)（stuxnet）病毒首次于2010年6月被白俄羅斯安全公司VirtusBlokAda發(fā)現(xiàn)，是全球第一例被發(fā)現(xiàn)針對工業(yè)控制系統(tǒng)的網(wǎng)絡病毒，據(jù)稱是美國與以色列用于摧毀伊朗核基礎設施鈾濃縮離心機而合作研發(fā)的；幾乎只能是由“國家隊”投入大量人力和時間才能做到的。 震網(wǎng)紀錄片推薦：《零日網(wǎng)絡戰(zhàn)》 國外大規(guī)模黑客攻擊事件層次不窮 數(shù)據(jù)庫遭攻擊，近1.43億個人信息泄露，占美國人口一半；2016.12：雅虎曝史上最大規(guī)模信息泄露，10億用戶資料被竊2016.12：俄羅斯央行遭黑客攻擊3100萬美元不翼而飛2016.09：Dropbox6800萬帳號密碼遭泄露2014.05：eBay被攻擊導致1億多用戶賬戶信息遭泄露2011.04：索尼PSN7000萬個人賬號信息被盜??國內(nèi)網(wǎng)絡安全大事件年月網(wǎng)絡安全領導小組成立 年月：《網(wǎng)絡安全法》正式頒發(fā) 2017年6月1日，《中華人民共和國網(wǎng)絡安全法》正式實施。《網(wǎng)絡安全法》總共7章79設施安全保護制度等內(nèi)容。安全法全文：ttp://..c/201611/07/111986716.tm摘錄：第十六條國務院和省、自治區(qū)、直轄市人民政府應當統(tǒng)籌規(guī)劃，加大投入，扶持重點網(wǎng)絡安全技術(shù)產(chǎn)業(yè)和項目，支持網(wǎng)絡安全技術(shù)的研究開發(fā)和應用，推廣安全可信的網(wǎng)絡產(chǎn)品和服務，保護網(wǎng)絡技術(shù)知識產(chǎn)權(quán)，支持企業(yè)、研究機構(gòu)和高等學校等參與國家網(wǎng)絡安全技術(shù)創(chuàng)新項目。第十七條國家推進網(wǎng)絡安全社會化服務體系建設，鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡安全認證、檢測和風險評估等安全服務。第二十條國家支持企業(yè)和高等學校、職業(yè)學校等教育培訓機構(gòu)開展網(wǎng)絡安全相關(guān)教育與培訓，采取多種方式培養(yǎng)網(wǎng)絡安全人才，促進網(wǎng)絡安全人才交流。 網(wǎng)絡安全法》正式頒發(fā) 第二十四條網(wǎng)絡運營者為用戶辦理網(wǎng)絡接入、域名注冊服務，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務，在與用戶簽訂協(xié)議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡運營者不得為其提供相關(guān)服務。第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。第三十八條關(guān)鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎設施安全保護工作的部門。第四十四條任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。 國內(nèi)網(wǎng)絡安全事件回顧 2017.09：中國互聯(lián)網(wǎng)安全大會/網(wǎng)絡安全宣傳周2017.06：央視曝光8成智能攝像頭存安全隱患2016.12：京東12G用戶信息泄露并流通于黑市2015.10：網(wǎng)易163/126郵箱5億條用戶數(shù)據(jù)泄露2015.04：30個省市社保系統(tǒng)遭入侵，上千萬個人信息泄露2014.08：“XX神器”短信病毒致數(shù)百萬用戶隱私泄露2011.12：CSDN600萬賬號信息泄露2011.06：新浪微博XSS蠕蟲病毒大規(guī)模用戶中招2010.01：百度域名被伊朗黑客劫持，超8個小時無法訪問??網(wǎng)絡安全產(chǎn)業(yè)鏈 安全行業(yè)產(chǎn)業(yè)鏈示意圖 黑產(chǎn)案例徐玉玉電信詐騙案 黑產(chǎn)案例：通過色情網(wǎng)站誘導支付 一章節(jié)總結(jié) 界”邊界徹底被打破?？臻g”展開。網(wǎng)絡安全產(chǎn)業(yè)鏈包括黑客/網(wǎng)絡犯罪/恐怖分子、網(wǎng)絡安全軍隊/企業(yè)/政府/企業(yè)/民眾三方組成，由于“敵在暗處”，攻防兩邊失衡。所以，掌握網(wǎng)絡安全技能不應該僅僅是工程師的專屬，更應該是每個互聯(lián)網(wǎng)公民最基本的自衛(wèi)方式。等合力鏟除。點評：大安全時代已到，零日漏洞、安全工具、安全人才成為國家戰(zhàn)略資源。目錄Contents目錄||·?·?網(wǎng)絡安全行業(yè)解讀|分類·??崗位·??求職網(wǎng)絡安全學習指南|技能·?方法·?資源人人都在談”安全”，安全到底指什么？ 網(wǎng)絡安全行業(yè)分類 網(wǎng)絡安全：安全行業(yè)的經(jīng)典領域，也是大部分安全廠商發(fā)家致富的領域，主要涉及企業(yè)網(wǎng)/政務網(wǎng)/校園網(wǎng)/檢測/入侵防御、、防病毒、網(wǎng)閘、抗DDOS等產(chǎn)品和部署。舉例：企業(yè)網(wǎng)安全設計與部署；省xx局政務網(wǎng)信息安全等級保護改造項目；某廠商防火墻存遠程代碼執(zhí)行漏洞，影響全球大規(guī)模網(wǎng)絡存在威脅。安全：也稱為應用安全，圍繞網(wǎng)站安全所延伸出來的務器安全、數(shù)據(jù)庫安全等。舉例：某用戶訪問釣魚網(wǎng)站導致網(wǎng)銀賬戶被竊??；雅虎10億用戶數(shù)據(jù)被竊??；研究WiFi、、藍牙、RFID舉例：某用戶連接釣魚WiFi網(wǎng)絡，導致銀行卡被盜刷。移動安全：研究iOS、Android舉例：某用戶安裝某扣費桌面安全：研究Windows、Linux舉例：WannaCry勒索病毒致使全球150多個國家受到安全威脅。工控安全：域的安全一旦出現(xiàn)問題，則人們的日常生活將受到直接影響。舉例：震網(wǎng)病毒致使伊朗核武器癱瘓；烏克蘭遭黑客攻擊導致70萬用戶停電。云安全：基于云計算形態(tài)進行開展的安全產(chǎn)品或服務，涉及軟件定義安全、虛擬化安全、機器學習安全等領域，涵蓋云WAF、云漏掃、云DDOS舉例：阿里云提供安騎士、騰訊云提供的云鏡/天御 網(wǎng)絡安全（某數(shù)據(jù)中心安全項目） 網(wǎng)絡安全（局域網(wǎng)安全攻防案例） 安全（揭秘地下色情誘導網(wǎng)站） 密碼破解） 小結(jié)：毫無疑問，安全是一個“大坑”。安全崗位到底有哪些？ 網(wǎng)絡安全崗位一覽 安全服務工程師安全運維工程師滲透測試工程師Web安全攻防工程師等保測評工程師??

代碼審計工程師威脅分析工程師無線安全工程師安全研發(fā)工程師移動安全工程師云計算安全工程師?? 以研發(fā)系、工程系、銷售系進行分類 研發(fā)系：安全研發(fā)、安全攻防研究、逆向分析、云計算研究、機器安全工程系：安全工程師、安全運維工程師、安全服務工程師、安全技術(shù)支持、安全售后、Web滲透測試工程師、Web安全工程師、應用安全審計、移動安全工程師銷售系：安全銷售工程師、安全售前工程師、技術(shù)解決方案工程師作為初學者，一般先從這幾個崗位下手=> 安全工程師（安全產(chǎn)品售后） 職位描述負責網(wǎng)絡安全項目中的技術(shù)方案編寫負責客戶的安全應急和售后駐場職位要求具備扎實的計算機與網(wǎng)絡原理熟悉各類網(wǎng)絡與安全設備（路由、交換、防火墻、VPN、漏洞掃描）對網(wǎng)絡數(shù)據(jù)包具備分析實踐能力，熟練使用數(shù)據(jù)包分析工具；熟悉常見網(wǎng)絡通信協(xié)議（TCP/IP、交換路由協(xié)議、VPN協(xié)議等）熟悉防火墻原理，能夠熟練配置防火墻策略；熟悉主流網(wǎng)絡與安全廠商產(chǎn)品（思科/華為/華三/飛塔/Juniper等較好的文檔撰寫能力、語言表達和與溝通能力。 安全服務工程師 職位描述查、代碼審計、應急響應等；對公司安全產(chǎn)品的后端支持；關(guān)注行業(yè)態(tài)勢和熱點。職位要求掌握一門及以上編程語言；熟悉常見安全攻防技術(shù)；有較強學習能力，能快速學習新的技術(shù)；熟悉風險評估、應急響應、滲透測試、安全加固等安全服務；具有良好的語言表達能力、文檔組織能力。 全運維工程師 職位描述服務器與網(wǎng)絡基礎設備的安全加固；安全事件排查與分析，配合定期編寫安全分析報告，專注業(yè)內(nèi)安全事件；跟蹤最新漏洞信息，進行業(yè)務產(chǎn)品的安全檢查；負責信息安全策略/流程的制定,安全培訓/宣傳及推廣；負責Web漏洞和系統(tǒng)漏洞修復工作推進，跟蹤解決情況，問題收集。職位要求熟悉TCP/IP協(xié)議，路由交換、常用的應用層協(xié)議；熟悉Linux/Windows下系統(tǒng)和軟件的安全配置與加固；熟悉常見的安全產(chǎn)品及原理，例如IDS/IPS、防火墻、漏洞掃描等；熟悉Web安全技術(shù)，包括OWASPTOP10安全風險；掌握C/PHP/Python/Shell等一或多種語言；較好的文檔撰寫能力、語言表達和與溝通能力。 滲透測試工程師安全工程師 職位描述對公司各類系統(tǒng)進行安全加固；對公司網(wǎng)站、業(yè)務系統(tǒng)進行安全評估測試（黑盒、白盒測試）；對公司安全事件進行響應，清理后門，根據(jù)日志分析攻擊途徑；安全技術(shù)研究，包括安全防范技術(shù)，黑客技術(shù)等；跟蹤最新漏洞信息，進行業(yè)務產(chǎn)品的安全檢查。職位要求熟悉Web滲透測試方法和攻防技術(shù)，包括SQL注入、XSS跨站、CSRF偽造請求、命令執(zhí)行等OWASPTOP10安全漏洞與防御；熟悉Linux、Windows不同平臺的滲透測試，對網(wǎng)絡安全、系統(tǒng)安全、應用安全有深入的理解和自己的認識；熟悉國內(nèi)外主流安全工具，包括KaliLinux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等；至少掌握一門編程語言C/JS/Python/PHP/Java/JS等；對Web安全整體有深刻理解，有一定的代碼審計和漏洞分析和挖掘能力； 安全崗位總結(jié) 安全行業(yè)和崗位眾多，初學者較多通過安全服務/安全運維、安全滲透/Web安全等崗位進入行業(yè)；安全崗位也有很多技能是重疊的，好好掌握以下幾種技術(shù)（設備、Linux操作系統(tǒng)、Web服務部署/開發(fā)、主流滲透測試/安全工具、一門及以上的編程語言）中的2到3個，便可以較好的勝任工作需求。聯(lián)網(wǎng)公司的，有從互聯(lián)網(wǎng)公司跳到安全初創(chuàng)企業(yè)的??哪些公司在招聘安全崗位？ 互聯(lián)網(wǎng)公司招募安全工程師 網(wǎng)絡安全公司招募安全工程師 國企金融招募安全工程師 安全崗相關(guān)招聘鏈接 騰訊：/index.php阿里：/zhaopin/index.htm百度：https://www./jobs/2568043.html知乎：hs//wwwgouo/jos/hsouosonoson1小米：hs//wwwgouo/jos/hsouosonoson4360：/2017/360/啟明：https://www./gongsi/j9231.html深信服：https://www./gongsi/182070.html#company_navs中國移動：/6xpgWL還有什么方法可以找安全崗位？根據(jù)安全崗位，到各大招聘網(wǎng)站搜索 搜索“網(wǎng)絡安全工程師” 搜索“安全工程師” 搜索“滲透測試工程師” 搜索安全工程師” 越來越多的企業(yè)設立SRC，SRC需要安全人才 SRC（SecurityResponseCenter，安全響應中心） 網(wǎng)絡安全薪酬情況 年部分應屆畢業(yè)生安全薪酬（廣深地區(qū)） 入職公司職位薪酬360企業(yè)安全安全工程師8~12w/年綠盟科技安全工程師10~12w/年綠盟科技安全滲透工程師12~14w/年中國移動安全運維/滲透測試工程師15~16w/年天融信安全工程師8~10w/年深信服安全工程師14w/年深信服安全攻防工程師19w/年 全薪酬情況解讀（應屆大學生為例） 按照薪酬年薪從高到低，可以分為檔、B檔、C檔：15w~18w B檔：12w~15wC檔：8w~12w不同安全崗位薪酬排序是這樣的：安全研發(fā)>滲透測試/Web安全>安全售后近年來各類安全崗薪酬持續(xù)在增長?? 二章節(jié)總結(jié) 安全行業(yè)可以細分為網(wǎng)絡安全、Web安全、無線安全、云安全、工控安全、桌面安全、移動安全等方向。安全崗位眾多，初學者較多通過安全服務/安全運維、安全滲透/Web等崗位進入行業(yè)。隨著安全成為法律強制要求，各行各業(yè)都在招募安全工程師，可以到招聘網(wǎng)站或搜索引擎通過關(guān)鍵詞來搜索相應的招聘信息。到8~12w、12~15w、15~18w不同檔次的入職薪酬。目錄Contents目錄||·?·?網(wǎng)絡安全行業(yè)解讀|分類·?崗位·?求職網(wǎng)絡安全學習指南|技能·??方法·??資源這里僅討論網(wǎng)絡安全和Web安全=>零基礎如何學習網(wǎng)絡安全？網(wǎng)絡安全技能要求 網(wǎng)絡安全技能要求 1、掌握各類網(wǎng)絡協(xié)議的原理與實踐：TCP/IP、VLAN/Trunk/MSTP/VRRP/802.1x、OSPF/BGP/MPLS、IPsec/SSL2、掌握主流網(wǎng)絡和安全工具的使用：、eNSP、SecureCRT、Wireshark、Solarwinds3、掌握主流網(wǎng)絡與安全設備的命令調(diào)試與故障排查：思科/華為/華三/銳捷/Juniper/飛塔/綠盟/深信服/天融信??路由器/交換機、防火墻、IDS/IPS、AC/AD、VPN4、掌握網(wǎng)絡安全架構(gòu)與設計：企業(yè)網(wǎng)/政務網(wǎng)/教育網(wǎng)/數(shù)據(jù)中心網(wǎng)設計與部署??網(wǎng)絡安全推薦書單 網(wǎng)絡安全推薦書單 《學習指南》《Cisco防火墻》《網(wǎng)絡安全原理與實踐》《華為防火墻技術(shù)漫談》《Cisco網(wǎng)絡黑客大曝光》

《Wireshark網(wǎng)絡分析實戰(zhàn)》攻擊與防范深度剖析》《Cisco完全配置指南》《Cisco安全入侵檢測系統(tǒng)》《計算機網(wǎng)絡實踐教程-基于網(wǎng)絡模擬器》《互聯(lián)網(wǎng)企業(yè)安全高級指南》網(wǎng)絡安全推薦工具 網(wǎng)絡安全推薦工具 等技術(shù)；CiscoeNSP：華為官方出品的網(wǎng)絡/安全模擬器，支持USG防火墻產(chǎn)品；SecureCRT：與Xshell一樣，都是最常用的終端登錄和命令操作軟件；Wireshark：最好用的抓包軟件，全球開源網(wǎng)絡安全工具top1；Visio：最好用的繪圖軟件，微軟出品，支持各種網(wǎng)絡拓撲圖、流程圖等；Cain：Windows下最強大的局域網(wǎng)攻擊與解密工具；Hping3：強大的TCP/IP數(shù)據(jù)包生成工具，可用于防火墻測試和安全審計。網(wǎng)絡安全學習方法 網(wǎng)絡安全學習方法 1、先網(wǎng)絡后安全很多初學者還沒搞定網(wǎng)絡看懂網(wǎng)絡拓撲，就急著研究防火墻或VPN，其實這樣就不清楚整個網(wǎng)絡架構(gòu)是如何安全演進的。正確的流程是：先通過網(wǎng)絡協(xié)議和拓撲設計的學習，能獨立搭建一個企業(yè)網(wǎng)/校園網(wǎng)，再引入局域網(wǎng)安全、防火墻、入侵檢測、VPN等安全技術(shù)，使整個網(wǎng)絡慢慢變得安全起來，這樣才能看到整個網(wǎng)絡安全的全貌。2、勤做實驗勤抓包Wireshark包工具，對底層協(xié)議進行觀察和分析。舉例，要研究VPN的安全，除了掌握復雜的命令調(diào)試，更應該做的就是把VPN隧道建立過程通過抓包進行數(shù)據(jù)包分析，這樣就能看到更底層的實現(xiàn)，記憶也能更加深刻。3、單點突破橫向拓展在我剛接觸網(wǎng)絡和安全產(chǎn)品的時候也是非常懵逼的，這么多產(chǎn)品怎么學的完？每個安全廠家都有自己的產(chǎn)品線，而不同產(chǎn)品的部署有些基于CLI（命令）有些則基于GUI（圖形）。后面發(fā)現(xiàn)只要深入掌握某個廠商的命令和圖形界面，不是死記命令而是記住命令背后的調(diào)試邏輯，這樣去研究同類安全產(chǎn)品的時候，就會發(fā)現(xiàn)“一通百通”，以后真正遇到新的安全產(chǎn)品，只要查閱相關(guān)官方手冊則可以較快上手。4、從工程實施到方案設計從安全工程師到安全架構(gòu)師，從單純的工程部署升級到更全局的安全架構(gòu)，這是每個安全工程師的坎，是升級的必經(jīng)之路。以安全工程師定位的話，只要熟悉安全設備和部署，做好安全響應，搞定安全設備故障就夠了；而安全設計/安全架構(gòu)師則需要熟悉一些安全標準，例如國內(nèi)的信息安全等級保護制度，這里不僅涉及到跨廠商的安全產(chǎn)品選型，也涉及安全拓撲的設計。零基礎如何學習安全？Web安全/滲透測試技能要求 安全滲透測試技能要求 1、安全理論：HTTP協(xié)議、OWASPTOP10、PETS、ISO27001?2、后端安全：SQL注入、文件上傳、Webshell、文件包含、命令執(zhí)行?3、前端安全：XSS跨站腳本攻擊、CSRF跨站請求偽造?4、滲透測試：KaliLinux、Metasploit、、Nessus、5漏洞掃描、應用防火墻）、IDS/IPS（Web入侵防御）、主機防護?----更多（加分項）---7、Windows/Lin