聽(tīng)勸? ?不要什么盲目的學(xué)網(wǎng)絡(luò)安全。

一，怎么入門？

1、Web 安全相關(guān)概念（2 周）

• 了解網(wǎng)絡(luò)安全相關(guān)法律法規(guī)

• 熟悉基本概念（SQL 注入、上傳、XSS、CSRF、一句話木馬等）。

• 通過(guò)關(guān)鍵字（SQL 注入、上傳、XSS、CSRF、一句話木馬等）進(jìn)行 Google；

• 閱讀《精通腳本黑客》，雖然很舊也有錯(cuò)誤，但是入門還是可以的；

• 看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過(guò)程，可以 Google（滲透筆記、滲透過(guò)程、入侵過(guò)程等）；

2、熟悉滲透相關(guān)工具（3 周）

• 熟悉 AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan 等相關(guān)工具的使用。

• 了解該類工具的用途和使用場(chǎng)景，先用軟件名字 Google；

• 下載無(wú)后門版的這些軟件進(jìn)行安裝；學(xué)習(xí)并進(jìn)行使用，例如：Brup 的教程、sqlmap；待常用的這幾個(gè)軟件都學(xué)會(huì)了可以安裝音速啟動(dòng)做一個(gè)滲透工具箱；

3、滲透實(shí)戰(zhàn)操作（5 周）

• 掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL 注入視頻、文件上傳入侵、數(shù)據(jù)庫(kù)備份、dedecms 漏洞利用等等）；

• 自己找站點(diǎn)/搭建測(cè)試環(huán)境進(jìn)行測(cè)試，記住請(qǐng)隱藏好你自己；

• 思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做那些工作；

• 研究 SQL 注入的種類、注入原理、手動(dòng)注入技巧；研究文件上傳的原理，如何進(jìn)行截?cái)?、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等；

• 研究 XSS 形成的原理和種類，具體學(xué)習(xí)方法可以 Google；研究 Windows/Linux 提權(quán)的方法和具體使用；

4、關(guān)注安全圈動(dòng)態(tài)（1 周）

• 關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章。

• 瀏覽每日的安全技術(shù)文章/事件；

• 通過(guò) Weibo/twitter 關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時(shí)間刷一下

• 通過(guò) feedly/鮮果訂閱國(guó)內(nèi)外安全技術(shù)博客（不要僅限于國(guó)內(nèi)，平時(shí)多注意積累）；

• 多關(guān)注下最新漏洞列表，推薦幾個(gè)：exploit-db

5、熟悉 Windows/Kali Linux（3 周）

• 學(xué)習(xí) Windows/Kali Linux 基本命令、常用工具；

• 熟悉 Windows 下的常用的 cmd 命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill 等；

• 熟悉 Linux 下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo 等；

• 熟悉 Kali Linux 系統(tǒng)下的常用工具，可以參考 SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；

• 熟悉 metasploit 工具，可以參考 SecWiki、《Metasploit 滲透測(cè)試指南》。

6、服務(wù)器安全配置（3 周）

學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過(guò)思考發(fā)現(xiàn)配置存在的安全問(wèn)題。Windows2003/2008 環(huán)境下的 IIS 配置，特別注意配置安全和運(yùn)行權(quán)限，；Linux 環(huán)境下的 LAMP 的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等；遠(yuǎn)程系統(tǒng)加固，限制用戶名和口令登陸，通過(guò) iptables 限制端口；配置軟件 Waf 加強(qiáng)系統(tǒng)安全，在服務(wù)器配置 mod_security 等系統(tǒng)；通過(guò) Nessus 軟件對(duì)配置環(huán)境進(jìn)行安全檢測(cè)，發(fā)現(xiàn)未知安全威脅。

7、腳本編程學(xué)習(xí)（4 周）

選擇腳本語(yǔ)言 Perl/Python/PHP/Go/Java 中的一種，對(duì)常用庫(kù)進(jìn)行編程學(xué)習(xí)。搭建開(kāi)發(fā)環(huán)境和選擇 IDE，PHP 環(huán)境推薦 Wamp 和 XAMPP，IDE 強(qiáng)烈推薦 Sublime；Python 編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語(yǔ)法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫(kù)，推薦《Python 核心編程》，不要看完；用 Python 編寫漏洞的 exp，然后寫一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)爬蟲(chóng)；PHP 基本語(yǔ)法學(xué)習(xí)并書寫一個(gè)簡(jiǎn)單的博客系統(tǒng)

8、源碼審計(jì)與漏洞分析（3 周）

能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問(wèn)題。熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序；從 Wooyun 上尋找開(kāi)源程序的漏洞進(jìn)行分析并試著自己分析；了解 Web 漏洞的形成原因，然后通過(guò)關(guān)鍵字進(jìn)行查找分析；研究 Web 漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成 checklist。

9、安全體系設(shè)計(jì)與開(kāi)發(fā)（5 周）

能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。開(kāi)發(fā)一些實(shí)用的安全小工具并開(kāi)源，體現(xiàn)個(gè)人實(shí)力；建立自己的安全體系，對(duì)公司安全有自己的一些認(rèn)識(shí)和見(jiàn)解；提出或者加入大型安全系統(tǒng)的架構(gòu)或者開(kāi)發(fā)；

這個(gè) Web 安全學(xué)習(xí)路線，整體大概半年左右，具體視每個(gè)人的情況而定。

如果你把每周要學(xué)的內(nèi)容精細(xì)化到這種程度，你還會(huì)擔(dān)心學(xué)不會(huì)，入不了門嗎，其實(shí)說(shuō)到底就是學(xué)了兩個(gè)月，但都是東學(xué)一下，西學(xué)一下，什么內(nèi)容都是淺嘗輒止，沒(méi)有深入進(jìn)去，所以才會(huì)有學(xué)了 2 個(gè)月，入不了門這種感受。

這個(gè)路線圖已經(jīng)詳細(xì)到每周要學(xué)什么內(nèi)容，學(xué)到什么程度，可以說(shuō)我整理的這個(gè) Web 安全路線圖對(duì)新人是非常友好的，除此之外，我還給小伙伴整理了相對(duì)應(yīng)的學(xué)習(xí)資料，如果你需要的話，我也可以分享一部分出來(lái)? ?除了有視頻教程，同時(shí)也為大家整理了各種文檔和書籍資料（涉密部分分享不了） 需要的可以后臺(tái)私我獲取

到了這里，關(guān)于聽(tīng)勸 千萬(wàn)不要盲目自學(xué)網(wǎng)絡(luò)安全的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！