Schniggelaus/Cybersecurity-Journey

# 🔐 网络安全之旅 ## 👤 背景 - 在 SSI Schäfer 的 InfoSec 团队担任**在职学生** - **7 个学期**的计算机科学学习 —— 已掌握网络、操作系统、编程基础知识 - 熟悉 Wireshark、基础网络分析、Linux 终端 - 将于 2026 年 10 月开始攻读信息安全工程学士学位（B.En.） 本仓库记录了所有内容：实验室、 writeup、我编写的工具以及我遵循的路线图。没有知识保留，没有事后修饰的帖子 —— 只有最真实的进展。 ## 🗺️ 路线图概述 | 阶段 | 时间范围 | 重点 | 状态 | |---|---|---|---| | **阶段 1** | 2026 年 6 月 – 9 月 | 基础：Web 安全、Linux、HTB、自主开发工具 | 🔄 进行中 | | **阶段 2** | 2026 年 10 月 – 2027 年 1 月 | 进阶：eJPT 认证、Bug Bounty、Fiverr | ⏳ 即将开始 | | **阶段 3** | 2027 年 2 月起 | 首笔收入：自由职业渗透测试、OSCP 备考 | ⏳ 即将开始 | ## 📘 阶段 1 —— 基础（2026 年 6 月 – 9 月） **目标：** 在 Web 安全、Linux 和网络分析方面建立坚实的技术基础。独立完成至少 6 台 HTB Easy 难度的机器。构建一个可用的侦察工具。发布 12 篇 writeup。 ### 学习路线 | 领域 | 平台 / 资源 | 状态 | |---|---|---| | Linux 基础 | TryHackMe – Linux Fundamentals (1–3) | ✅ | | 网络基础 | TryHackMe – Network Fundamentals | ⬜ | | Web 安全 – SQLi, XSS, IDOR | PortSwigger Web Academy | ⬜ | | Web 安全 – SSRF, XXE, Auth | PortSwigger Web Academy | ⬜ | | OWASP Top 10 | TryHackMe – OWASP Top 10 Room | ⬜ | | 权限提升 | TryHackMe – Linux + Windows PrivEsc | ⬜ | | Active Directory 基础 | TryHackMe – AD Rooms | ⬜ | | 实战黑客技术 | Hack The Box – Starting Point + Easy Machines | ⬜ | | 工具使用 | Burp Suite, Nmap, Gobuster, Wireshark | ⬜ | | 自主开发工具 | Python 侦察脚本 (subfinder + nmap + HTML report) | ⬜ | ### 阶段 1 里程碑 - [ ] 无需教程独立解出 HTB Easy 难度机器 - [ ] 完成 PortSwigger Web Academy 核心模块 - [ ] 完成 TryhackMe 模块 - [ ] 发布侦察工具 (`/tools/recon/`) - [ ] 发布 36 篇 writeup ## 📗 阶段 2 —— 进阶（2026 年 10 月 – 2027 年 1 月） **目标：** 通过 eJPT 认证。提交首批 Bug Bounty 报告。建立 Fiverr 个人资料以开展微型自由职业。开始产生首笔收入。 ### 计划学习路线 - INE eJPT 课程 + 考试 - HackerOne / Bugcrowd —— 积极参与 Bug Bounty 挖掘（侧重 Web 范围） - PortSwigger 高级实验室 (Deserialization, HTTP Smuggling, OAuth) - 云安全基础（通过 CloudGoat 了解 AWS 配置错误） ### 变现目标（阶段 2） | 渠道 | 现实预期 | 备注 | |---|---|---| | Bug Bounty (HackerOne) | 总计 $0–500 | Low/Medium 级别的发现，无保证 | | Fiverr 微型任务 | 每单 30–100 € | 安全审查 | | 自由职业（直接对接） | 0–1 个项目 | 通过人脉，需要先有作品集 | ## 📕 阶段 3 —— 首笔真实收入（2027 年 2 月起） **目标：** 稳定的副业收入。自由职业渗透测试项目。OSCP 备考。从微型任务向正式的客户工作转型。 ### 计划步骤 - OSCP 备考（PEN-200 课程，约 1500 €）—— 如果预算允许 - Upwork 个人资料（作为 Fiverr 的补充），用于接更高价值的项目 - 在 DACH 区的 InfoSec 社区建立 LinkedIn 人脉 - 首个正式的渗透测试项目（小范围，面向初创公司或中小企业） ### 收入目标 | 渠道 | 目标（每月） | |---|---| | Bug Bounty | 200–500 € | | 自由职业渗透测试 | 300–1000 € | | **总计** | **500–1500 €/月** | ## 🛠️ 工具与仓库 | 工具 | 描述 | 链接 | |---|---|---| | `recon-tool` | 自动化子域名枚举 + 端口扫描 + HTML 报告 | *(预计在阶段 1 第 7 周推出)* | ## 📁 仓库结构 ``` cybersecurity-journey/ ├── README.md ├── writeups/ │ ├── phase1/ │ │ ├── portswigger-SQLInjection.md │ │ └── ... │ └── phase2/ ├── tools/ │ └── recon/ │ ├── recon.py │ └── README.md ├── notes/ │ ├── cheatsheets/ │ │ ├── nmap.md │ │ ├── privesc-linux.md │ │ └── ... │ └── phase1-lab-notes.md └── resources.md ``` ## 📊 进度追踪 **阶段 1** —— 第 12 周中的第 1 周 ``` HTB Machines (Easy): 0 / 6 ░░░░░░ PortSwigger Modules: 1 / 8 █░░░░░░░ TryhackMe Modules: 4 / 22 ████░░░░░░░░░░░░░░░░░░ Writeups Published: 5 / 36 █████░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ``` ## 📬 联系方式 - **LinkedIn:** https://www.linkedin.com/in/florian-niklaus-652786270/ *开始时间：2026 年 6 月 · 定期更新*

标签：CTI, Web安全, 学习笔记, 安全靶机, 渗透测试入门, 漏洞复现, 网络安全, 蓝队分析, 逆向工具, 隐私保护