你离顶尖网络安全工程师有多远？

2023年开始了，减少数字化风险、提高安全防御能力依然是众多企业组织数字化发展中的重要需求和目标。

纵观2022年，全球重大网络安全事件频发，网络钓鱼、黑客软件、复合攻击等事件层出不穷，严重影响了企业和个人的信息安全，而这些趋势将延续至新的一年。

**
**

而安全的本质是攻防实战。无论是安全研发，还是安全服务，实战才是硬道理。网络安全的学习过程，就是不断在实战演练中积累实操经验的过程。

除了通过开源安全项目学习外，通过在CNVD漏洞平台尝试挖洞是一条高效的实战路径。不仅能提升实战经验，如果发现了原创漏洞还能够获得相应证书。总的来说有以下好处：

① CNVD 原创漏洞证书可以通过证书编号到官网查询，是漏洞挖掘的能力证明。

② 在安全求职就业方面，比如将其写在简历中对于找工作是加分项。

③ 除此之外，在攻防演练、渗透测试等安全业务合作中，也属于“硬通货”。

小****白如何学习CNVD漏洞实操案例？

CNVD是国家信息安全漏洞共享平台（China National Vulnerability Database，简称 CNVD），是由国家计算机网络应急技术处理协调中心（中文简称国家互联网应急中心，英文简称 CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。

CNVD整合了国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等等，共同建立了软件安全漏洞统一收集验证、预警发布及应急处置体系，既提升我国在安全漏洞方面的整体研究水平和及时预防能力，也带动国内相关安全产品的发展。

CNVD 漏洞主要分为事件型漏洞和通用型漏洞。挖洞思路无非以下三种：

1、查找网上公开漏洞库或漏洞平台，如：SeeBug 漏洞库、Exploit-db 漏洞库、PeiQi 漏洞库、CVND/CVE/CNNVD 平台等，查看国内外厂商已爆出的安全漏洞（Nday漏洞），针对公司注册资金5千万及以上的厂商，根据已爆出安全漏洞的系统再去挖掘出新的漏洞（通用或事件型漏洞）。

2、通过天眼查、企查查、爱企查等平台，筛选注册资金5千万及以上的公司，到网络空间资产测绘系统（FoFa、Zoomeye、360 等）搜索该公司相关通用资产，挖掘通用型漏洞（中危及以上）。

3、针对国内通信运营商（中国移动、中国电信、中国联通、中国铁塔），涉及重要行业单位、科研院所、重要企事业单位（如：中央国有大型企业、部委直属事业单位等），挖掘事件型漏洞（高危）。

CNVD 原创漏洞审核处置流程涵盖审核归档、验证处置、公开披露、评分认证等多个环节。

CNVD 原创漏洞证书是为了肯定漏洞报送者（白帽子）在防范漏洞安全风险的积极作用，由 CNVD 官方制作并发布给报送者的电子证书。

如何快速学习网络安全技术？

如果你是一个安全行业新人，我推荐你先从网络安全或者Web安全/渗透测试这两个方向先学起，原因如下：

• 第一，发展相对成熟入门比较容易。这两个方向当前有比较成熟的学科知识体系，对新手比较友好，入门学习简单；
• 第二，市场需求量高。这两个方向在企业招聘和项目工作中应用广泛，如各大企业经常招募的安全服务工程师、Web安全工程师、渗透测试工程师、安全运维工程师等职位，主要技能栈就是网络安全和Web安全。
• 第三，薪资待遇好。这两个方向的岗位薪资在安全行业也是非常可观的。

值得一提的是，学网络安全，是先网络后安全；学Web安全，也是先Web再有安全。安全不是独立存在的，而是建立在其他技术基础之上的上层应用技术。脱离了这个基础，就很容易变成纸上谈兵，变成“知其然，不知其所以然”，在安全的职业道路上也很难走远。

另外，学习Web安全方向需要有一定的编程基础，如果对代码没兴趣，建议走[网络安全]方向，学习网络安全方向不需要太多计算机编程功底（不是走研发路线而是走安全服务工程师路线），更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析，对网络和安全设备能熟悉配置。

综上，如果你是原本从事网工运维，那么可以选择网络安全方向入门；如果你原本从事程序开发，推荐选择Web安全/渗透测试方向入门**。**当然学到一定程度、或者有了一定工作经验，不同方向的技术耦合会越来越高，各个方向都需要会一点。

这两个方向在整个行业内的薪资也相当可观：

或许你对网络安全行业和技术还有更多疑问：

• 网络安全到底包含那些技术？

• 如何获取网络安全实战经验？

• 如何进行网络空间信息情报搜集？

• 有哪些工具可以提升信息搜集效率？

学习一名入门级白帽子黑客所具备的技能：

• 学习真实hvv攻防实战理论与实操详解

• 攻防演练工作指南，工作箱推荐

• CNVD国家信息安全漏洞共享平台原创漏洞挖掘案例分享

• 开源情报收集OSINT实战应用

• 渗透项目中信息收集工具实战

• 主、被动信息收集渗透实战

学习真实hvv攻防实战理论与实操详解

• 攻防演练工作指南，工作箱推荐

• CNVD国家信息安全漏洞共享平台原创漏洞挖掘案例分享

• 开源情报收集OSINT实战应用

• 渗透项目中信息收集工具实战

• 主、被动信息收集渗透实战

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料，希望对想学习 网络安全的小伙伴们有帮助！

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取视频教程】

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取书籍】

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。【点击领取工具包】

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》，点击下方链接即可前往免费获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》