数据库靶场

1. 守望先锋里狂鼠的夹子会对敌人造成伤害吗

炸弹轮胎

“狂鼠”扔出一个装有摩托引擎的炸弹轮胎，翻越墙壁和障碍物。“狂鼠”可以遥控并手动引爆这个炸弹轮胎，爆炸后对范围内的敌人造成巨大伤害。炸弹轮胎在时间耗尽后也会自己爆炸。

轮胎血量: 100

伤害: 600

施法时间: 1s

持续时间: 10s

爆炸范围: 10m
小技巧
如果炸弹轮胎被摧毁，则不再爆炸
炸弹轮胎可以伤害狂鼠
炸弹轮胎可以爬墙可以跳跃

-------------------
下次这样的问题，直接网络 努巴尼 社区查数据库即可。
10米是多少？
去靶场转转，下面有标注的。

——靶场 很有用，不要当成新手才用的地图。

2. sql注入靶场有哪些

有DVWA，pikachu，bwapp等。

结构化查询语言（Structured Query Language）简称SQL，是一种特殊目的的编程语言，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。

结构化查询语言是高级的非过程化编程语言，允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法，也不需要用户了解具体的数据存放方式。

所以具有完全不同底层结构的不同数据库系统, 可以使用相同的结构化查询语言作为数据输入与管理的接口。结构化查询语言语句可以嵌套，这使它具有极大的灵活性和强大的功能。

3. 美国司法部助理副部长布鲁斯·奥尔是哪个血统

美国联邦调查局，英文全称Federal Bureau of Investigation，英文缩写FBI。但“FBI”也不仅是局称的缩写，还代表着联邦调查局坚持贯彻的信条——忠诚Fidelity，勇敢Bravery和正直Integrity。

FBI总括美国联邦调查局是美国司法部的主要调查机构,俗称为事务所，它的职责是调查具体的犯罪。美国联邦调查局也被授权提供其他执法机构的合作服务，如指纹识别，实验室检查，和警察培训。根据美国法典第28条533款，授权司法部长“委任官员侦测反美国的罪行”，另外其它联邦的法令给予FBI权力和职责调查特定的罪行。FBI现有的调查司法权已经超过200种联邦罪行。十大通缉犯清单从1930年起就已经公布于众了。

FBI的任务是调查违反联邦犯罪法，支持法律。保护美国调查来自于外国的情报和恐怖活动，在领导阶层和法律执行方面对联邦，州，当地和国际机构提供帮助，同时在响应公众需要和忠实于美国宪法前提下履行职责。对内，全权负责维护国家安全和防范有组织的恐怖主义活动；对外，积极协助美国国防部军事情报局(., Military Intelligence Agency, . Department of Defense) 及美国中央情报局(., Central Intelligence Agency)，防范并打击一切可能危害到美国国家安全的情报和军事活动。FBI的官方使命是：通过调查违反联邦刑法的行为来维护法律，保护美国免受外国间谍和恐怖分子活动的威胁，为联邦、州、地方或国际机构提供领导和执法帮助，并且能按照公众的需要且在遵守美国宪法的前提下履行上述职责。在FBI每次调查的情报资料后，递交适当的美国律师或者美国司法部官员，由他们决定是否批准起诉或其它行动。其中五大影响社会的方面享有最高优先权：反暴行，毒品/有组织犯罪，外国反间谍活动，暴力犯罪，和白领阶层犯罪。FBI曾经有不纯的历史，即支持法律，有时候又破坏它。但在大多数美国人的通常印象里，它是打击罪行最有效的机构。专门特工的人员每年都在增长，现在已经超过11000名成员。大多数专门特工驻在外国，作为大使法律随员在美国使馆工作，FBI自称为“LEGATS”。
[编辑本段]FBI历史

在19世纪，政府机构经常雇用（Pinkertons）等私家侦探公司进行破案。直至1908年，美国西部地区的土地非法销售激怒了当时在任的总统西奥多罗斯福，他授权司法部长查尔斯·约瑟夫·波拿巴（Charles J. Bonaparte）成立一个小型侦探机构，以此来调查这些罪行。1909年，该机构拥有了正式名称：调查局(The Bureau of Investigation 简称BOI)。直到1935年7月1日正式改为联邦调查局。约（翰）·埃德加·胡佛在1924年5月10日成为调查局局长。当时调查局花费大量精力调查没有犯罪的政治激进分子(如，社会主义者阿尔贝特·爱因斯坦 )。当富兰克林·德拉诺·罗斯福在任时，提醒胡佛自由主义不是罪行，而应是现任总统和行政部门的政治活动。

FBI科学检测罪行实验室(众所周知是FBI Crime Lab)，正式成立于1932年11月24日。

二十世纪30年代，联邦调查局逮捕了一批臭名昭着的绑架，抢劫和杀人犯，例如John Dillinger, "Baby Face" Nelson, Kate "Ma" Barker, Alvin Karpis和George "Machine Gun" Kelly。在打击三K党的行动中联邦调查局也扮演了重要角色。

从二十世纪40年代到70年代，联邦调查局调查了针对美国的间谍案。二战期间联邦调查局曾抓获8名到美国执行破坏任务的纳粹间谍。

联邦调查局还针对美国的有组织犯罪进行了很多工作，打击了很多犯罪组织和集团，例如Sam Giancana家族和John Gotti家族。

二十世纪50年代和60年代，联邦调查局进行了颇有争议的Cointelpro行动。这次行动的内容是调查和妨碍美国持不同政见的组织的行动。这些组织包括军事组织，非暴力组织和民权组织。胡佛关于马丁·路德·金的调查也是臭名昭彰的 – FBI没有找到任何犯罪证据，并试图使用其私人性生活录音带进行要挟。《华盛顿邮报》声称联邦调查局还至少给马丁·路德·金寄过一封怂恿其自杀的匿名信。

1950年，联邦调查局非法拘留想要回国的钱学森，并派遣特务闯入钱学森研究室及住宅进行捣乱。

在1990年代，显示FBI科学检测罪犯实验室经常犯低级错误。在一些本来证据显示嫌疑犯无罪的案件中，技术人员却报告证明他们有罪。当这种错误被发现时，许多这样的案件会重审。
[编辑本段]FBI构成

联邦调查局局长由总统任命，并经参议院批准，任期10年，第一任局长为胡佛，现任局长罗伯特·米勒。该局有工作人员2万多名，其中8600多人是外勤人员。每年的预算为23亿美元。
[编辑本段]FBI任务

FBI的任务是调查违反联邦犯罪法，支持法律。保护美国调查来自于外国的情报和恐怖活动，在领导阶层和法律执行方面对联邦、州、当地和国际机构提供帮助，同时在响应公众需要和忠实于美国宪法前提下履行职责。最初，只有很少罪行在该调查局的管辖范围之内。如土地诈骗、全国性银行诈骗、反垄断犯罪以及跨州界犯罪属于该调查局的调查范围。但在接下来的数十年中，新颁布的法律扩大了联邦政府调查全国性犯罪的范围。如今FBI每次调查的情报资料后，递交适当的美国律师或者美国司法部官员，由他们决定是否批准起诉或其它行动。其中在反暴行、毒品/组织犯罪、外国反间谍活动、暴力犯罪和白领阶层犯罪等方面享有最高优先权。
[编辑本段]FBI下设机构

美国联邦调查局总部位于华盛顿特区的J. Edgar Hoover大厦。这栋大厦于1974年投入使用，外观酷似大型堡垒。
J. Edgar Hoover 大厦

总部下设10个由助理局长担任领导的职能部门，分管鉴定、训练、刑事调查、技术服务等工作，并在全国59个城市设立外勤办事处及从属于它们的400多个“地方分局”，还有分布在世界22个国家的驻外机构，执行总部分配的任务。设有“罪犯司法信息服务部”、刑事犯罪 “科学实验室”、“中央指纹档案馆”（其中存储着近4，700万个对象的指纹，乃世界同类数据库之最）、“尖端人质拯救小组”以及专门培训高级特工的国家学院。
美国联邦调查局国家学院坐落在弗吉尼亚州匡蒂科美国海军陆战队基地内，这所始创于1972年的高级特工和间谍培训机构被385亩的森林完全包围，在空中都难以窥得全景。据FBI官方网站介绍，这样的环境有利于“安全、保密”。引人注目的是，美国毒品管制局的训练学院也坐落在附近。

美国联邦调查局国家学院主体包括3幢宿舍楼、1座餐厅、1座教学楼、1个法医研究与训练中心、1个有1000 个座位的礼堂、1座小礼拜堂、1个大健身房、1条室外跑道和1家装备齐全的汽修厂。除此之外，国家学院里还有一座模拟城市，专供FBI和毒品管制局训练学院的学员实战模拟用。模拟城市附近还有1个室内靶场，8个室外靶场，4个飞碟靶场和1个200米步枪冲锋枪靶场。
[编辑本段]FBI主要功绩

20世纪30年代，联邦调查局逮捕了一批臭名昭着的绑架、抢劫和杀人犯。在打击三K党的行动中联邦调查局也扮演了重要角色。

从20世纪40年代到70年代，联邦调查局调查了针对美国的间谍案。二战期间联邦调查局曾抓获8名到美国执行破坏任务的纳粹间谍。

联邦调查局还针对美国的有组织犯罪进行了很多工作，打击了很多犯罪组织和集团，例如Sam Giancana家族和John Gotti家族。
[编辑本段]FBI争议行动

Cointelpro行动：20世纪50年代和60年代，联邦调查局进行了颇有争议的Cointelpro行动。这次行动的内容是调查和妨碍美国持不同政见的组织的行动。这些组织包括军事组织，非暴力组织和民权组织。胡佛关于马丁·路德·金的调查也是臭名昭彰的，FBI没有找到任何犯罪证据，并试图使用其私人性生活录音带进行要挟。《华盛顿邮报》声称联邦调查局还至少给马丁·路德·金寄过一封怂恿其自杀的匿名信。在20世纪90年代，FBI科学检测罪犯实验室经常犯低级错误。在一些本来证据显示嫌疑犯无罪的案件中，技术人员却报告证明他们有罪。当这种错误被发现时，许多这样的案件会重审。

驱逐卓别林：卓别林因演出针砭时弊的电影而成为联邦调查局的调查对象。1922年，联邦调查局特工混进卓别林的电影厂做卧底，监视他的一言一行。时间不长，便有卧底向局长报告，说那里都是“高谈阔论的布尔什维克”，还有大量“电影界激进分子”，讨论的主题是“为工人运动和革命作教育宣传的电影是何等重要”。当时担任联邦调查局局长的是伯尔恩斯，接到报告后，他立即让手下收集整理有关电影界思潮的档案，罗列电影圈内的激进活动，特别是“如何通过电影作共产主义宣传”，企图说明由于“电影宣传共产主义思想”，会对民众造成思想影响，必须予以密切监视。

监视爱因斯坦：联邦调查局监视爱因斯坦是从二战后开始的。对于他赞同共产主义理想，支持民权运动、反战团体和一些社会主义的主张，特工们感到惊恐不安，他们担心这样的知名人物批评美国的政策，会在社会上产生负面影响。联邦调查局为了找到把爱因斯坦驱逐出境的罪证，建立了关于爱因斯坦的详细的个人文件。文件长达1424页，上面记录着联邦调查局对爱因斯坦所作调查的各项内容。
[编辑本段]FBI丑闻事件


FBI局长

近几年来，联邦调查局丑闻迭出，这显示其内部系统仍存在大量问题。外界给予了猛烈的抨击。

2001年7月17日，联邦调查局一些不愿透露姓名的官员向媒体披露，联邦调查局在过去的11至12年间已丢失了近200台笔记本电脑和约450件武器。经联邦调查局认定，失踪的笔记本电脑中肯定有一台储存了机密信息，另外还有三台可能也储存了机密。窃贼偷去了失踪电脑中的13台，另外一些笔记本电脑则很可能是在从一个部门传递到另一个部门的过程中丢失的。联邦调查局丢失的近450件武器中约有184件武器属于失窃。失踪武器中大约有13件落入犯罪分子之手，犯罪分子在抢劫时使用了这些武器。尽管丢失的绝大部分是随身佩带的小型武器，但其中也不乏像冲锋枪这样的大家伙。

除失窃外，联邦调查局与其他执法部门的联合训练活动中显然还丢失了一部分枪支。联邦调查局的内部人员也和武器丢失有关联。有关方面已确认，丢失的武器中有66件都和一位退休特工有关，另外还有4件失踪武器与一些被辞退或是亡的特工有关。在FBI的"失误"中，引人注目的还有俄城爆炸案那次。当时联邦调查局向俄城爆炸案主犯麦克维的辩护律师提供材料时，居然遗漏了千页重要文件，结果造成麦克维的刑被迫从2001年5月16日延迟到6月11日执行。

此外，联邦调查局资深探员汉森竟是潜伏了15年的俄罗斯双重间谍，舆论哗然，FBI大丢脸面！对华裔科学家李文和案件的处理不当同样也使FBI蒙羞！
[编辑本段]FBI与华关系

FBI北京办事处于2002年10月22日成立，其办公地点设在美国驻华使馆，作为FBI第45个海外专员办事处，北京办事处有2名特工，负责FBI在中国的事务。在北京办事处成立前，通过香港办事处与中国公安部沟通信息。这种状况从1966年开始，到2002年正式结束。

FBI十大通缉罪犯“十大通缉犯名单”是总统胡佛于1950年3月14日创建的一项革新。旨在通过公布一些重大逃犯的照片及年龄、身高、体重、体型、发色、眼睛、肤色、性别、种族、职业、化名等简单情况，让公众协助将其缉拿归案。到2002年为止，共有458名逃犯出现在这份名单上，实际已抓获429名。现在仍然可以在网上搜到更新中的通缉犯名单。 上“十大通缉犯”名单并非
本·拉登

“易事”，要经过专门机构候选、初选等步骤，最后由联邦调查局的副局长亲自敲定。能够进入名单的逃犯都有较长的严重犯罪记录，或被认为对社会构成了严重威胁，没有等级先后之分。

FBI“十大通缉犯”名单：

“恐怖大亨”本·拉登（悬赏5000万美元）

“恐怖大亨”本·拉登：本·拉登是“基地”组织的头目，涉嫌于1998年8月7日袭击美国驻坦桑尼亚和肯尼亚使馆；并涉嫌制造了“9·11”恐怖袭击。


大毒枭迭戈

大毒枭迭戈·蒙托亚（悬赏500万美元） （2007年9月已落网）

“大毒品贩子”迭戈·莱恩·蒙托亚·桑切斯：桑切斯因向美国走私数吨可卡因而被通缉。据称，桑切斯是哥伦比亚最大的贩毒集团北山谷贩毒集团的头目之一。

“黑帮老大”詹姆斯·J·伯格（悬赏100万美元）

“黑帮老大”詹姆斯·J·伯格：伯格是美国马萨诸塞州首府波士顿一个犯罪组织的头目，该组织涉嫌于20世纪70年代至80年代中期在该地区制造了一系列谋杀案，伯格因此遭到通缉。据称，伯格脾气火暴，身上随时带着刀。可能带有武器，极度危险。

“百万劫犯”维克托·美因茨·戈热那（悬赏100万美元）

“百万劫犯”维克托·美因茨·戈热那：曾做过机械师和保安的戈热那涉嫌于1983年在美国康涅狄格州持枪抢劫了一家安保公司，成功卷走700万美元巨款。抢劫过程中，戈热那将两名保安扣为人质。

“杀人焚尸恶魔”乔治·阿尔贝托·洛佩兹－奥兹科（悬赏10万美元）

“杀人焚尸恶魔”乔治·阿尔贝托·洛佩兹－奥兹科：因在爱达荷州埃尔莫尔县枪杀3人而被通缉。2002年8月11日，一个女人和她两个孩子烧焦的尸体在一辆被烧毁的车内被发现，每个受害者的头部和胸部都受到枪击。

“杀妻恶魔”罗伯特·威廉·费什尔（悬赏10万美元）

“杀妻恶魔”罗伯特·威廉·费什尔：费什尔涉嫌于2001年杀害妻子及两名孩子，并一把火烧了他们位于亚利桑那州史考司代尔的房子。

“越狱高手”格伦·斯图尔特·戈德温（悬赏10万美元）

“越狱高手”格伦·斯图尔特·戈德温：戈德温最引人注目的地方就是他曾两次成功越狱。1987年，戈德温因谋杀罪即将被执行刑时，成功从加利福尼亚州一座州立监狱脱逃。当年晚些时候，戈德温就因贩毒在墨西哥落网，定罪后被送往墨西哥中西部城市瓜达拉哈拉服刑。1991年4月，戈德温涉嫌杀害一名狱友，5个月后再次越狱出逃，至今逍遥法外。

亚历克西斯·佛罗雷斯（悬赏10万美元）

乔·萨瓦里诺·斯基拉奇（悬赏10万美元）

埃米格迪奥·普雷西亚多（悬赏10万美元）

“十大通缉犯”一般固定为十人，杀一个，就会再补一个，但偶尔也会超员——1968年谋杀马丁·路德·金的厄尔·雷(1968年落网）是首位“第十一名通缉犯”。
[编辑本段]FBI部分领导

美国联邦调查局(FBI)的成员名单是不会完全向外公布的. FBI北京办事处成立于2002年10月22日,其办公地点就设在美国驻华使馆. FBI在香港也有办事处. FBI副局长 托马斯．富恩斯特 FBI北京办事处首任主任 刘善谦 第二任主任 刘威廉 两人都是美籍华人 现任主任 Steven Hendershot(斯蒂文·亨德肖特) 美国人。
[编辑本段]FBI一百周年

从几十名侦探发展到一支三万余人的队伍，美国联邦调查局（FBI）自1908年7月26日创建至今，已走过百年历程。FBI之所以提升知识界传奇的水平，部分要归功于像埃德加·胡佛这样的传奇人物，他在二战和骚乱迭起的民权运动期间领导FBI近50年之久；而诸如《X档案》《沉默的羔羊》等好莱坞大片的渲染也功不可没。

4. 网络安全去应该去哪里学习呢。

只要想学习哪里学习都是有效果的。但需要结合自身的一些特点来调整学习方向，这样学习起来会事半功倍，以下推荐3种学习线路，适用于不同的学习人群；

方法1：先学习编程，然后学习Web渗透及工具使用等

适用人群：有一定的代码基础的小伙伴

（1）基础部分

基础部分需要学习以下内容：

（1.1）计算机网络 ：

重点学习OSI、TCP/IP模型，网络协议，网络设备工作原理等内容，其他内容快速通读；

【推荐书籍】《网络是怎样连接的_户根勤》一书，简明扼要，浅显易懂，初学者的福音；如果觉得不够专业，可以学习图灵设计丛书的《HTTP权威指南》；

（1.2）linux系统及命令 ：

由于目前市面上的Web服务器7成都是运行在Linux系统之上，如果要学习渗透Web系统，最起码还是要对linux系统非常熟悉，常见的操作命令需要学会；

学习建议：学习常见的10%左右的命令适用于90%的工作场景，和office软件一样，掌握最常用的10%的功能，基本日常使用没什么问题，遇到不会的，再去找相关资料；常见的linux命令也就50-60个，很多小白囫囵吞枣什么命令都学，这样其实根本记不住。

【推荐书籍】Linux Basics for Hackers；

（1.3）Web框架 ：

熟悉web框架的内容，前端HTML，JS等脚本语言了解即可，后端php语言重点学习，切记不要按照开发的思路去学习语言，php最低要求会读懂代码即可，当然会写最好，但不是开发，但不是开发，但不是开发，重要的事情说三遍；

数据库：

需要学习SQL语法，利用常见的数据库MySQL学习对应的数据库语法，也是一样，SQL的一些些高级语法可以了解，如果没有时间完全不学也不影响后续学习，毕竟大家不是做数据库分析师，不需要学太深；

（2）Web安全

（2.1）Web渗透

掌握OWASP排名靠前的10余种常见的Web漏洞的原理、利用、防御等知识点，然后配以一定的靶场练习即可；有的小白可能会问，去哪里找资料，建议可以直接买一本较为权威的书籍，配合一些网上的免费视频系统学习，然后利用开源的靶场辅助练习即可；

【推荐书籍】白帽子讲Web安全（阿里白帽子黑客大神道哥作品）

【推荐靶场】常见的靶场都可以上github平台搜索，推荐以下靶场DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu等，有些是综合靶场，有些是专门针对某款漏洞的靶场；

（2.2）工具学习

Web渗透阶段还是需要掌握一些必要的工具，工具的学习b站上的视频比较多，挑选一些讲解得不错的视频看看，不要一个工具看很多视频，大多数视频是重复的，且很浪费时间；

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、mesa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

练习差不多了，可以去SRC平台渗透真实的站点，看看是否有突破，如果涉及到需要绕过WAF的，需要针对绕WAF专门去学习，姿势也不是特别多，系统性学习学习，然后多总结经验，更上一层楼；

（2.2）自动化渗透

自动化渗透需要掌握一门语言，且需要熟练运用，可以是任何一门自己已经掌握得很熟悉的语言，都可以，如果没有一门掌握很好的，那我推荐学习python，最主要原因是学起来简单，模块也比较多，写一些脚本和工具非常方便；

虽说不懂自动化渗透不影响入门和就业，但是会影响职业的发展，学习python不需要掌握很多不需要的模块，也不需要开发成千上万行的代码，仅利用它编写一些工具和脚本，少则10几行代码，多则1-200行代码，一般代码量相对开发人员已经少得不能再少了，例如一个精简的域名爬虫代码核心代码就1-20行而已；

几天时间学习一下python的语法，有代码基础的，最快可能一天就可以学习完python的语法，因为语言都是相通的，但是学习语言最快的就是写代码，别无他法；接下来可以开始尝试写一些常见的工具，如爬虫、端口探测、数据包核心内容提取、内网活跃主机扫描等，此类代码网上一搜一大把；然后再写一些POC和EXP脚本，以靶场为练习即可；有的小伙伴可能又要问了，什么是POC和EXP，自己网络去，养成动手的好习惯啦；

（2.3）代码审计

此处内容要求代码能力比较高，因此如果代码能力较弱，可以先跳过此部分的学习，不影响渗透道路上的学习和发展。

但是如果希望在Web渗透上需要走得再远一些，需要精通一门后台开发语言，推荐php，因为后台采用php开发的网站占据最大，当然你还精通python、asp、java等语言，那恭喜你，你已经具备很好的基础了；

代码审计顾名思义，审计别人网站或者系统的源代码，通过审计源代码或者代码环境的方式去审计系统是否存在漏洞（属于白盒测试范畴）

那具体要怎么学习呢？学习的具体内容按照顺序列举如下 ：

掌握php一些危险函数和安全配置；

熟悉代码审计的流程和方法；

掌握1-2个代码审计工具，如seay等；

掌握常见的功能审计法；（推荐审计一下AuditDemo，让你产生自信）

常见CMS框架审计（难度大）； 代码审计有一本国外的书籍《代码审计：企业级Web代码安全架构》，当然有空的时候可以去翻翻，建议还是在b站上找一套系统介绍的课程去学习；github上找到AuditDemo，下载源码，搭建在本地虚拟机，然后利用工具和审计方法，审计AuditDemo中存在的10个漏洞，难度分布符合正态分布，可以挑战一下；

至于CMS框架审计，可以去一些CMS官方网站，下载一些历史存在漏洞的版本去审计，框架的学习利用官方网站的使用手册即可，如ThinkPHP3.2版本是存在一些漏洞，可以尝试读懂代码；但是切记不要一上来就看代码，因为CMS框架的代码量比较大，如果不系统先学习框架，基本属于看不懂状态；学习框架后能够具备写简单的POC，按照代码审计方法结合工具一起审计框架；其实也没没想象中的那么难，如果你是开发人员转行的，恭喜你，你已经具备代码审计的先天性优势。

可能有人会问：“我代码很差，不学习代码审计行不行？”其实代码审计不是学习网络安全的必要条件，能够掌握最好，掌握不了也不影响后续的学习和就业，但你需要选择一个阶段，练习得更专业精通一些，如web渗透或者内网渗透，再或者是自动化渗透；

（3）内网安全

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；

如果想就业面更宽一些，技术竞争更强一些，需要再学习内网渗透相关知识；

内网的知识难度稍微偏大一些，这个和目前市面上的学习资料还有靶场有一定的关系；内网主要学习的内容主要有：内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT等等；

可以购买《内网安全攻防：渗透测试实战指南》，这本书写得还不错，国内为数不多讲内网的书籍，以书籍目录为主线，然后配合工具和靶场去练习即可；

那去哪里可以下载到内网靶场？如果你能力够强，电脑配置高，可以自己利用虚拟机搭建内网环境，一般需要3台以上的虚拟机；你也可以到国外找一些内网靶场使用，有一些需要收费的靶场还可以；

（4）渗透拓展

渗透拓展部分，和具体工作岗位联系也比较紧密，尽量要求掌握，主要有日志分析、安全加固、应急响应、等保测评等内容；其中重点掌握前三部分，这块的资料网络上也不多，也没有多少成型的书籍资料，可通过行业相关的技术群或者行业分享的资料去学习即可，能学到这一步，基本上已经算入门成功，学习日志分析、安全加固、应急响应三部分的知识也相对较为容易。

方法2：先学习Web渗透及工具，然后再学习编程

适用人群：代码能力很弱，或者根本没有什么代码能力，其他基础也相对较差的小伙伴

基础需要打好，再学习Web渗透比如linux系统、计算机网络、一点点的Web框架、数据库还是需要提前掌握；

像php语言、自动化渗透和代码审计部分内容，可以放在最后，当学习完毕前面知识后，也相当入门后，再来学习语言，相对会容易一些；

【优先推荐】方法2，对于小白来说，代码基础通常较弱，很多很多小白会倒在前期学习语言上，所以推荐方法2的学习，先学习web渗透和工具，也比较有意思，容易保持一个高涨的学习动力和热情，具体学习内容我就不说了，请小伙伴们参照方法1即可。

方法3：选择一些适合自己的课程学习

适用人群：需要体系化学习、增强实战能力的小伙伴

具体根据自身条件来讲，如果你自学能力较差，那建议选择课程学习，网上各大平台等都有很多各式各样的课程，是可以更快帮助你迅速入门的，然后再根据自己自身所欠缺的方面，不断去完善和学习，最后达到你所要的优秀水平。

学习书籍推荐如下：

【基础阶段】

Linux Basics for Hackers(中文翻译稿)

Wireshark网络分析(完整扫描版)

精通正则表达式（中文第3版）

图解HTTP 彩色版

[密码学介绍].杨新.中文第二版

网络是怎样连接的_户根勤

[PHP与MySQL程序设计(第4版)].W.Jason.Gilmore

【web渗透阶段】

web安全攻防渗透测试实战指南

白帽子讲Web安全

Web安全深度

【自动化渗透阶段】

Python编程快速上手-让繁琐工作自动化

【代码审计阶段】

代码审计：企业级Web代码安全架构

【内网渗透阶段】

内网安全攻防：渗透测试实战指南

社会工程防范钓鱼欺诈

5. phstudy搭建靶场练习什么比较好

练习sql注入。phstudy靶场搭建为了更好地学习web网络安全知识，可以通过搭建靶场进行练习sql注入、xss等常见漏洞。搭建phstudy靶场练习要具备数据库和运行环境。而这些可以很有效的锻炼sql的注入，检查数据库的练习。

6. 网络安全怎么学

你可以把网络安全理解成电商行业、教育行业等其他行业一样，每个行业都有自己的软件研发，网络安全作为一个行业也不例外，不同的是这个行业的研发就是开发与网络安全业务相关的软件。

既然如此，那其他行业通用的岗位在安全行业也是存在的，前端、后端、大数据分析等等，也就是属于上面的第一个分类，与安全业务关系不大的类型。这里我们重点关注下第二种，与安全业务紧密相关的研发岗位。

这个分类下面又可以分为两个子类型：

• 做安全产品开发，做防

• 做安全工具开发，做攻

安全行业要研发的产品，主要（但不限于）有下面这些：

• 防火墙、IDS、IPS

• WAF（Web网站应用防火墙）

• 数据库网关

• NTA（网络流量分析）

• SIEM（安全事件分析中心、态势感知）

• 大数据安全分析

• EDR（终端设备上的安全软件）

• DLP（数据泄漏防护）

• 杀毒软件

• 安全检测沙箱

总结一下，安全研发的产品大部分都是用于检测发现、抵御安全攻击用的，涉及终端侧（PC电脑、手机、网络设备等）、网络侧。

开发这些产品用到的技术主要以C/C++、Java、Python三大技术栈为主，也有少部分的GoLang、Rust。

安全研发岗位，相对其他两个方向，对网络安全技术的要求要低一些（只是相对，部分产品的研发对安全技能要求并不低），甚至我见过不少公司的研发对安全一无所知。