游戏安全技术怎么学

A. 如何学好网络安全

经常看到一些网友在论坛发帖问该如何学习网络安全技术，说的直接一点就是想学习黑客攻防技术，最近有网友加我qq又谈到这个问题，今天就整理一下我的一些看法，希望对大家能有所帮助。

从98年开始接触网络安全技术到现在已经10多年了，那时候的个人电脑的系统基本都是win98，服务器基本是winnt，上网都是通过猫拨号上网，记得上网一小时4.2元。攻击方法基本就是远程控制，远程蓝屏，暴力破解密码，拒绝服务攻击等，还没有出现sql注入和社工，安全书籍中的文章大多数都是对一些软件的使用方法做介绍，用的木马基本就两个，美国死牛之祭组织出的bo2000和国产的冰河。冰河我用了很长一段时间，直到现在看到7626这个数字还觉得亲切，因为这是冰河被控制端开启的端口，手工删除冰河也很简单，找到进程中的g_server.exe关闭删除就可以了。还有个破解win98共享文件夹的软件印象也比较深刻，图标是个卡通公鸡头，破解速度很快，破解原理是系统密码认证有问题，对密码的识别不是整个字符串识别的，而是一个字符一个字符的识别，破解软件就可以根据系统返回的yes、no进行尝试。
网上不少人说要学网络安全一定要会c和c++语言，我觉得完全没必要，不是说学了没用，而是在初学阶段用处不大，甚至枯燥的学习会扼杀你的兴趣，等到技术达到了一定程度再学，会事半功倍，不少从事信息安全多年的专业人士都没有写过一行代码，一样被人称为大牛。还有人说学网络安全英语一定要好，其实你只要能认识那些常用的计算机单词就行了，当然你要考cissp除外。还有人说学网络安全一定要会unix和linux，我觉得windows就够学的了，人的精力总是有限的，不可能把所有的领域都搞得很精通，与其样样通，样样松，何不做精，在某一领域有所专长。

忘记unicode漏洞是哪年被发现了，感觉很震撼，没想到通过这种方式可以控制计算机，当时有这种漏洞的服务器到处都是，原因很简单，服务器管理者对系统补丁的重要性认识不足，没有及时安装补丁。这种漏洞的利用方式简单的讲就是通过浏览器就可以对目标计算机执行cmd命令，用的最多的命令就是dir、、type，用dir浏览服务器的文件目录，看到感兴趣的文件到虚拟目录下，然后通过浏览器下载，看到文本文件用type阅读。也可以通过tftp上传文件。

还有输入法漏洞，同样的震撼，入侵者通过远程桌面连接到目标计算机上，调出输入法，通过输入法的帮助功能，执行cmd命令，尽管是老漏洞，但同样适用于目前的一些远程接入程序，学网络安全必须做到举一反三，条条大路通罗马。
印象最深刻的远程溢出漏洞是在05年，ms05039漏洞，溢出后，用nc可以直接连上某个溢出后开启的端口，获得系统的shell权限，在互联网上成功率很高，在局域网成功率基本是99%。

没头没脑说这么多，又不能混稿费，就此打住，进入正题。初学者可以在计算机上安装vm虚拟机，vm的功能很多，需要注意的就这么几个：制作恢复快照，通过Ctrl+Alt释放虚拟机中的鼠标，安装完vm后，接着安装VMwareTools 其他就不做详细介绍了。在虚拟机中安装个win2003，安装完成后，默认设置下是可以ping通本地机的，这样一个小的网络环境就搭建好了，如果硬件允许，可以同时运行多个虚拟机，用虚拟系统进行攻防测试，不会影响到真实系统。至于都做哪些攻防测试，我觉得可以先做系统漏洞攻防，下载使用各种漏洞扫描器，进行全面扫描，根据存在的漏洞，用各种方法做入侵测试，还可以试试各种溢出攻击，掌握各种常用的cmd命令。接下来可以开启系统的iis服务，在虚拟目录中放一个漏洞百出的整站系统做web漏洞攻防，sql注入、跨站、脚本入侵等，根据获得的webshell进行提权测试。还可以在系统中安装各种应用软件，对应用软件存在的漏洞进行攻防测试。喜欢看书的朋友还可以看看《黑客x档案》、《黑客手册》、《黑客防线》，网上有部分电子版，前两本相对简单写，《黑客防线》系统底层的文章相对多些。等到各种攻防测试都做完了，可以看看一些网络基础方面的书籍，你会发现之前苦涩难懂的理论知识理解起来不是那么困难了。《TCP/IP
详解》这本书不错，卷一详细描述协议栈，同样的一本书，每个阶段看，收获是完全不一样的。《欺骗的艺术》这本书也不错，网上有电子版，看完后你会发现，社会工程学原来是门艺术。当你掌握的技术越多，就越觉得不懂的更多。

黑客工具有成千上万个，这里给大家介绍几款个人感觉不错的。x-scan，国产漏洞扫描器，优点是稳定，可扩展性强，缺点是很久没更新了，漏洞库不够新；Acunetix
Web Vulnerability
Scanner，简写wvs，是款web扫描器，优点是web漏洞扫描全面，缺点是运行速度太慢；ssport，小巧的端口扫描器，优点是扫描速度快，可以在运行中调节扫描速度，号称无级变速，缺点是有漏扫情况，占用网络资源很厉害，运行后，基本不用上网了，甚至拖垮你的局域网。不少人用s扫描器，ssport的端口扫描速度不如s扫描器，但整体来说不比s扫描器差。cain，很不错的嗅探工具，功能太多了，操作稍微有点复杂，用了cain你会发现，网络中到处都是明文密码。

如果你的时间和精力充足，又想学学编程，可以考虑学学delphi，上手快，不是有这么一句话吗:聪明的程序员用delphi，学编程对全面了解操作系统有一定的帮助。

当你学会了攻，也就明白怎么防了，防比攻更难，攻是单点突破，防是系统工程。网上不少人在收徒弟，这其中不少人是骗子，前不久看过一个所谓的黑客教学视频，制作者通过一个不带任何参数的ping命令+web扫描，只是web扫描，就击垮了一个SF服务器，看完后我也被他击垮了。最好的老师永远是你自己，只要有兴趣，多动手实践，多思考，一定会有所收获。路在何方？路永远在你脚下。最后还要说一句，不要去黑别人，因为中国有句老话：善有善报，恶有恶报。更不要以为做了几次跳板别人就找不到你了。

转载仅供参考，版权属于原作者

B. 网络安全如何入门

零基础、转专业、跨行等等都可以总结为，零基础或者有一点基础的想转网络安全方向该如何学习。

要成为一名黑客，实战是必要的。安全技术这一块儿的核心，说白了60%都是实战，是需要实际操作。

如果你选择自学，需要一个很强大的一个坚持毅力的,还有钻研能力，大部分人是东学一块西学一块儿，不成体系化的纸上谈兵的学习。许多人选择自学，但他们不知道学什么。

再来说说，先学编程还是渗透，

很多人说他们想学编程，但是在你学了编程之后。会发现离黑客越来越远了。。。

如果你是计算机专业的，之前也学过编程、网络等等，这些对于刚入门去学渗透就已经够了，你刚开始没必要学那么深，有一定了解之后再去学习。如果是转专业、零基础的可以看我下面的链接，跟着公开课去学习。

B站有相关零基础入门网络安全的视频

快速入门

另外说一句，渗透是个立马可以见效的东西，满足了你的多巴胺，让你看到效果，你也更有动力去学。

举个栗子：你去打游戏，杀了敌人，是不是很舒服，有了反馈，满足了你的多巴胺。

编程这玩意，周期太长，太容易劝退了，说句不好听的，你学了三个月，可能又把之前学的给忘了。。。这又造成了死循环。所以想要学网安的可以先学渗透。在你体验了乐趣之后，你就可以学习编程语言了。这时，学习编程语言的效果会更好。因为你知道你能做什么，你应该写什么工具来提高你的效率！

先了解一些基本知识，协议、端口、数据库、脚本语言、服务器、中间件、操作系统等等，

接着是学习web安全，然后去靶场练习，再去注册src挖漏洞实战，

学习内网，接着学习PHP、python等、后面就学习代码审计了，

最后还可以往硬件、APP、逆向、开发去学习等等

（图片来自A1Pass）

网络安全学习实际上是个很漫长的过程，这时候你就可以先找工作，边工边学。

怎么样能先工作：

学完web安全，能够完成基本的渗透测试流程，比较容易找到工作。估计6到10k

内网学完估计10-15k

代码审计学完20-50k

红队表哥-薪资自己谈

再来说说如果你是对渗透感兴趣，想往安全方面走的，我这边给你一些学习建议。

不管想学什么，先看这个行业前景怎么样--

2017年我国网络安全人才缺口超70万，国内3000所高校仅120所开设相关专业，年培养1万-2万人，加上10
-
20家社会机构，全国每年相关人才输送量约为3万，距离70万缺口差距达95%，此外，2021年网络安全人才需求量直线增长，预计达到187万，届时，人才需求将飙升278%！

因为行业人才输送与人才缺口的比例问题，网络安全对从业者经验要求偏低，且多数对从业者学历不设限。越来越多的行业从业者上升到一定阶段便再难进步，很容易被新人取代，但网络安全与其他行业的可取代性不同，网络安全工程师将在未来几十年都处于紧缺状态，并且，对于防御黑客攻击，除了极少数人靠天分，经验才是保证网络安全的第一法则。

其次，不管是什么行业都好，引路人很重要，在你刚入门这个行业的时候，你需要向行业里最优秀的人看齐，并以他们为榜样，一步一步走上优秀。

不管是学习什么，学习方法很重要，当你去学习其他知识时候，

都可以根据我下面介绍的方法去学习：

四步学习法

一、学习

二、模仿

三、实战

四、反思

说在前头，不管是干什么，找到好的引路人很重要，一个好老师能让你少走很多弯路，然后迈开脚步往前冲就行。

第一步，找到相关资料去学习，你对这个都不了解，这是你之前没接触过的领域，不要想着一次就能听懂，当然天才除外（狗头滑稽），听完之后就会有一定的了解。

第二步，模仿，模仿什么，怎么模仿？先模仿老师的操作，刚开始可能不知道啥意思，模仿两遍就会懂一些了。

第三步，实战，怎么实战？先去我们配套的靶场上练习，确定靶场都差不多之后，再去申请成为白帽子，先去挖公益src，记住，没有授权的网站都是违法的。（师父领进门，判刑在个人）

第四部，反思，总结你所做的步骤，遇到的问题，都给记录下来，这个原理你理解了吗？还是只是还是在模仿的部分养成做笔记的习惯。

学习方式有了，接下来就是找到正确的引路人进行学习，一个好的引路人，一个完整的体系结构，能让你事半功倍。