軟體專業網路攻防

A. 我是一個學軟體工程的學生，請問有和網路安全相關的方向嗎或者網路攻防

軟體工程是沒有這個方向的。
網路安全、網路攻防是屬於信息安全專業的。

雖然都屬於計算機學科，但是安全方面的基礎知識例如密碼學、數論這些軟體工程是不學的。

B. 網路攻防平台有哪些

我們平時涉及到的計算機網路攻防技術，主要指計算機的防病毒技術和製造具破壞性的病毒的技術。具體的攻和防指的，一個是黑客，一個是殺毒軟體。一個是入侵計算機系統的技術，一個是保護計算機不被入侵的技術。

防禦：對應用層的防範通常比內網防範難度要更大，因為這些應用要允許外部的訪問。防火牆的訪問控制策略中必須開放應用服務對應的埠，如web的80埠。這樣，黑客通過這些埠發起攻擊時防火牆無法進行識別控制。入侵檢測和入侵防禦系統並不是針對應用協議進行設計，所以同樣無法檢測對相應協議漏洞的攻擊。而應用入侵防護系統則能夠彌補防火牆和入侵檢測系統的不足，對特定應用進行有效保護。

C. 求網路安全攻防軟體

如果懂得封包分析就用Wireshark，這個軟體可以查到進出數據包，是免費的。還有個一個是NESSUS，這個軟體商業版的上萬元，家用版是免費的

D. 我想學計算機網路攻防 請問需要什麼條件

英語4級
理解能力
還有樓上同志說的求知慾
編程是項苦工作，從0開始很復雜的，所以還要有恆心
然後了解一些計算機基礎知識，不知道就學編程你會覺得沒有意義
建議你從PYTHON開始，然後學習C++或者JAVA，
編程都是全英文的，英語一定要過關，不然編譯器的幫助你都看不懂
了解了關鍵字用途，然後在網上找習題做，同時觀摩高手的名作，自己覺得過關了就自己寫相關功能的程序，應該就可以了

E. 網路工程專業（網路安全與攻防方向）專業咋樣就業咋樣

網路工程專業目前來說就業面有些窄，沒有太高的收入，當然也取決於個人水平了，試舉幾例：網路設備廠家，電信網路公司，線務局，網路安全專家包括公安系統，物聯網方向，數據機房。自己決定發展方向。信息安全篇軟體，而網路工程偏重硬體方面，對於二三層交換和物理層方面學習的比較多。當然這些專業有很多課程都要交叉學習的。

F. 我想學網路攻防技術，（自學） 現在零基礎，求如何起步，求步驟，求師傅~~

感謝邀請！ 我是機電專業轉計算機行業，我大部分是在網易雲課堂自學，你可以用電腦瀏覽器搜索網易雲課堂，並進入其官網，在搜索框搜索關鍵字:腳本之家，裡面有很多hei客與編程的專業視頻，希望對您有幫助。

你可以從以下方面進行學習:

1. 這是一條堅持的道路,三分鍾的熱情可以放棄往下看了，保持對黑客技術的喜愛和熱情，靜水流深，不斷打磨技術。2.多練多想,不要離開了教程什麼都不會了.要理論與實際相結合，搭建測試實驗環境。如學kali滲透，要搭建好DVWA滲透測試系統，不要空學理論不滲透測試。3.有時多google,,我們往往都遇不到好心的大神,誰會無聊天天給你做解答. 黑客最好會用谷歌，由於國內目前不能用谷歌，你可以直接網路搜索關鍵字:谷歌鏡像，通過鏡像網站實現谷歌搜索。4.可以加扣扣或多逛論壇，多和大牛交流學習，多把握最新安全資訊，比如FreeBuf,不斷提高自己的安全攻防能力和網路安全能力。我目前是做網路安全方面，有興趣可以加v信[ihaha12]，一起交流進步！

基本方向:1.web安全方面(指網站伺服器安全方面,進行滲透測試,檢測漏洞以及安全性，職業目標: WEB滲透測試工程師)2、網路基礎與網路攻防。學習計算機網路基礎知識，為網路攻防做准備。 深入了解網路原理，並掌握它，將對我們的滲透攻擊及防禦至關重要。3、系統安全，window和linux系統學習與安全加固。 企業伺服器主要有window和linux,其中以linux為主，企業一般都有這兩個系統，對內辦公系統一般用window,對外提供服務系統一般用linux,其中原因大家可以根據我們上面講的方法谷歌一下)4、逆向破解方面(對軟體進行破解合完成各種高級任務。Python虛擬機本身幾乎可以在所有的作業系統中運行。)5、搞計算機的，不會編程說不過去，至少要會腳本編程，比如cmd, shell, vbs, powershell, python等。本人主要學習的是cmd shell python,其中又以python為主。

向左轉|向右轉

G. 如何成為程序員，或者網路攻防高手

要想成為一門黑客，說簡單也不簡單，說不簡單嘛，那也要看個人了
首先要正確理解你心裏面認為的黑客是怎麼定義？
是掛個馬盜個號或遠程式控制制別人機器and網下個程序攻擊別人PC？
真正的黑客還是需要一定的天賦的
別說會用幾個別人製作的小程序去操縱那些電腦盲的機器就是黑客了
黑客所要掌握的東西實在太多，
不光軟體和硬體知識，還要有獨特的思考思維，和豐富網路經驗
所以，如果你想成就網路攻防這方面，建議從計算機系統和通信基礎開始，
書館書多而雜。會讓你找不到方向。這還是需要一定時間和經驗的，
有條件的話也可以去一些所謂的黑客培訓基地培訓下吧
現在網路發展速度很快，關鍵還是看自己有沒有堅持下去的興趣

H. 學習網路攻防專業好還是軟體開發專業好

18-25學開發 25以後學網路
過35歲腦力和體力玩開發明顯就跟不上了，需要轉成開發統籌或者管理者

I. 網路攻防平台有哪些

作者：周知日
鏈接：http://www.hu.com/question/24740239/answer/28872069
來源：知乎
著作權歸作者所有，轉載請聯系作者獲得授權。

DVWA: Damn Vulerable Web Application

DVWA - Damn Vulnerable Web Application

基於 php 和 mysql 的虛擬 Web 應用，「內置」常見的 Web 漏洞，如 SQL 注入、xss 之類，可以搭建在自己的電腦上，隨便黑不犯法。搭建環境也很簡單，下一個 XAMPP 包裝上就差不多能用了。

另外可以翻烏雲（WooYun.org | 自由平等開放的漏洞報告平台）和 sebug（http://sebug）上關於開源 Web 應用的歷史公開漏洞，找一下對應的版本（一般不難找，歷史太久遠的可能就麻煩點），在自己機器上搭建環境，嘗試去重現。

其實你會發現搭建「靶場」這個工作相對拿現有的漏洞去復現要麻煩上許多，甚至有時候要安裝對應的軟體甚至操作系統（在虛擬機里）。但搭建本身也是學習 Web 應用知識和網站加固的一個非常好的途徑。

DVWA-WooYun（烏雲靶場）

烏雲上剛發布的測試版，第一時間搬運過來。

免安裝在線使用：
DVWA Wooyun edition

原帖地址（需烏雲賬號）：
DVWA-WooYun（烏雲靶場）開源漏洞模擬項目 測試版公布！

DVWA-WooYun是一個基於DVWA的PHP+Mysql漏洞模擬練習環境，通過將烏雲主站上的有趣漏洞報告建模，以插件形式復現給使用該軟體的帽子們，可以讓烏雲帽子們獲得讀報告體驗不到的真實感，在實踐的過程中可以無縫隙地深入理解漏洞的原理及利用方式

中英雙字，如果您語文學的不好不必擔心了，界面提示英文的（DVWA原廠），內容提示中英雙字（後來覺得比較眼花，所以去掉了部分英文）

開放源文件（遵守GPL），有源碼有真相：

DVWA-WooYun-edition

網路雲 請輸入提取密碼 xtr8

作者 lxj616

Metasploitable

著名的滲透框架 Metasploit 出品方 rapid7 還提供了配置好的環境 Metasploitable，是一個打包好的操作系統虛擬機鏡像，使用 VMWare 的格式。可以使用 VMWare Workstation（也可以用免費精簡版的 VMWare Player ）「開機」運行。

下載請戳： Download Metasploitable

如果你不喜歡填個人信息，或者這還有個下載地址？
http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip

這是基於 Ubuntu 系統修改定製的虛擬機鏡像，內置了許多可攻擊（metasploitable!）的應用程序，比如在 Web 應用方面預裝了如下平台：

mutillidae (NOWASP Mutillidae 2.1.19)
dvwa (Damn Vulnerable Web Application)
phpMyAdmin
tikiwiki (TWiki)
tikiwiki-old
dav (WebDav)

系統軟體的漏洞（二進制漏洞）也是存在的，可以完成從 Web 到提權的一整套練習。而且已經內置了常見的 Web 環境如 php + mysql，其他的網站應用同樣可以嘗試在上面自行搭建。

Metasploitable 的官方英文手冊：
Metasploitable 2 Exploitability Guide

也可以參考這篇譯文：
Metasploitable 2 漏洞演練系統使用指南（上）_91Ri.org
Metasploitable 2 漏洞演練系統使用指南（下）_91Ri.org

OWASP Broken Web Applications Project
https://code.google.com/p/owaspbwa/

跟 Metasploitable 類似，這也是打包好的虛擬機鏡像，預裝了許多帶有漏洞的 Web 應用，有真實世界裡的流行網站應用如 Joomla, WordPress 等的歷史版本（帶公開漏洞），也有 WebGoat, DVWA 等專門用於漏洞測試的模擬環境。

官方的使用說明：
https://code.google.com/p/owaspbwa/wiki/UserGuide
演示視頻（需梯）：
OWASP Broken Web Applications VM

XCTF_OJ 練習平台

http://oj.xctf.org.cn/

XCTF-OJ （X Capture The Flag Online Judge）是由 XCTF 組委會組織開發並面向 XCTF 聯賽參賽者提供的網路安全技術對抗賽練習平台。

XCTF-OJ 平台將匯集國內外 CTF 網路安全競賽的真題題庫，並支持對部分可獲取在線題目交互環境的重現恢復，XCTF 聯賽後續賽事在賽後也會把賽題離線文件和在線交互環境匯總至 XCTF-OJ 平台，形成目前全球 CTF 社區唯一一個提供賽題重現復盤練習環境的站點資源。

網路信息安全攻防學習平台

http://hackinglab.cn/main.php

提供基礎知識考查、漏洞實戰演練、教程等資料。實戰演練以 Web 題為主，包含基礎關、腳本關、注入關、上傳關、解密關、綜合關等。

PentesterLab 練習環境

[PentesterLab] Our exercises

這裡面列出的全都是可以直接用虛擬機軟體打開的，配置完整的靶場環境。應該是出於版權考慮沒有 Windows 的系統鏡像，不過覆蓋的漏洞也不少，如：

Shellshock [PentesterLab] CVE-2014-6271/Shellshock
XML 實體注入 [PentesterLab] Play XML Entities
會話注入 [PentesterLab] Play Session Injection
從 SQL 注入到 shell [PentesterLab] From SQL Injection to Shell
PHP 文件包含和高級利用 [PentesterLab] PHP Include And Post Exploitation

安裝方法是，本地配置一個虛擬機，內存參數可以配的很低，就算有特別說明（注意下載頁面）也是要求到 512M。為這個虛擬機添加虛擬光碟機作為引導設備，光碟鏡像的路徑就設置成你下載的靶機 ISO 文件。啟動之後點 LIVE CD 直接用，或者安裝到虛擬機硬碟里都可以。

PWNABLE.KR

以上都是網頁伺服器安全相關的靶場，再推薦一個練習二進制 pwn 的網站：Pwnable.kr

pwnable 這類題目在國外 CTF 較為多見，通常會搭建一個有漏洞（如緩沖區溢出等）的 telnet 服務，給出這個服務後端的二進制可執行文件讓答題者逆向，簡單一點的會直接給源代碼，找出漏洞並編寫利用程序後直接攻下目標服務獲得答案。

這個網站里由簡到難列出了許多關卡，現在就上手試試吧。

自行搭建虛擬機

自行搭建 Windows 環境也並不是太麻煩，因為安裝程序都是圖形化界面，而且這些老系統上的軟體通常都比較可靠。你所需要的就是不停點下一步和看進度條的耐心……

在這個網站你可以找到微軟系的幾乎所有操作系統、伺服器工具（如 SQLServer）的原汁原味版安裝鏡像：MSDN, 我告訴你

系統方面不用說自然推薦Windows XP 和 2003，他們目前的使用率還是相當可觀的，既容易上手也具備實戰價值，不乏 MS08-067 之類的教科書級漏洞。

軟體方面推薦一些較為容易攻擊和提權環境：

IIS 6：Windows 2003 默認啟用，XP 下需要在「添加和刪除 Windows 組件」里安裝。它有經典的分號文件名解析漏洞，配合許多網頁程序編輯模板、生成靜態 HTML、上傳文件等的漏洞，拿 shell 比較方便。更高版本的 IIS 也有解析漏洞，不過沒有這一版這么爽。
XAMPP（XAMPP Installers and Downloads for Apache Friends）：安裝時將 Apache 設置為系統服務，這樣將以 SYSTEM 許可權運行，你在 getshell 之後可以一步到位拿到管理員許可權。

SQL Server < 2005：之所以要低於 2005 是因為在這個版本中默認禁用了大夥喜聞樂見的 xp_cmdshell。

一些低版本的第三方 FTP 伺服器，如 Serv-U，然後點開右邊：Serv-U_漏洞 。
MySQL：各個版本有自己的特點，如 INFORMATION_SCHEMA 在 5.x 才引入，對脫庫非常有用，省去跑表名的精力；而像 load_file、UDF 提權之類的利用也因版本而異，展開說篇幅就長了，請參考網上相關教程。
CCProxy：可以在內網搞一些初級的埠轉發（真實滲透呢，一般是不會用動靜這么大的軟體的……），這個軟體本身低版本也存在遠程代碼執行漏洞。

我相信會花時間看我這個答案的都是初學者，所以記得安裝之後不要給系統打補丁，也不要動輒嘗試 Windows 2008 之類比較新的系統，否則可能會一無所得。

一些細節

直接安裝上面的虛擬機之後，你就擁有了一個虛擬的伺服器，可以對它任意地糟蹋、練習攻防技術而不必有法律上的顧慮。萬一不小心搞壞了環境，還可以使用虛擬機自帶的快照功能瞬間恢復原狀。

但是安裝了虛擬機鏡像之後僅僅是獲得了一個伺服器環境，可以用作對應平台腳本或者二進制漏洞的研究。對於需要玩真格的練習，比如要達到奪旗賽的效果，還得設計網路拓撲。你想上面的環境都可以直連 mysql 等資料庫，可能一個弱密碼就進去了，多沒意思。一個完整的滲透過程不僅牽涉到漏洞的利用，還會有進入內網的要求。這時候就需要一些代理或者埠轉發工具來實現從「外網」到「核心目標」的訪問。

真實世界裡的網路一般會有 DMZ 等區域的劃分，還會具有網關、路由等。這些環境可以使用多個虛擬機同時運行進行模擬，同時利用 VMWare 等虛擬機軟體自帶的網路編輯器功能進行配置。對於一般的筆記本，同時帶上兩個虛擬機真的是很吃力的。所以要玩真格的話，還得多配置幾台物理上的真機，或者用成本相對低廉的嵌入式機器如樹莓派，甚至是刷了 OpenWRT 的路由器。比如去年我和同學在備戰安全競賽的時候就動用了機房裡好幾台電腦……