?自學(xué)網(wǎng)絡(luò)安全很容易學(xué)著學(xué)著就迷茫了，找到源頭問題，解決它就可以了，所以首先咱們聊聊，學(xué)習(xí)網(wǎng)絡(luò)安全方向通常會有哪些問題，看到后面有驚喜哦

1、打基礎(chǔ)時間太長

學(xué)基礎(chǔ)花費(fèi)很長時間，光語言都有幾門，有些人會倒在學(xué)習(xí) linux 系統(tǒng)及命令的路上，更多的人會倒在學(xué)習(xí)語言上；

2、知識點(diǎn)掌握程度不清楚

對于網(wǎng)絡(luò)安全基礎(chǔ)內(nèi)容，很多人不清楚需要學(xué)到什么程度，囫圇吞棗，導(dǎo)致在基礎(chǔ)上花費(fèi)太多時間；看到很多小伙伴，買了 HTML，PHP，數(shù)據(jù)庫，計(jì)算機(jī)網(wǎng)絡(luò)等書籍，每本還很厚，很多寫得也很深，發(fā)現(xiàn)越學(xué)越?jīng)]自信，別人學(xué)個 PHP 或者數(shù)據(jù)庫就可以找到工作，而網(wǎng)絡(luò)安全要學(xué)這么多，越來越懷疑自己是不是選錯了方向；

3、知識點(diǎn)分不清重點(diǎn)

很多人花了很大精力學(xué)完了基礎(chǔ)內(nèi)容，但是發(fā)現(xiàn)很多知識和后續(xù)網(wǎng)絡(luò)安全關(guān)聯(lián)不大，沒有分清重點(diǎn)，浪費(fèi)了很多時間；

4、知識點(diǎn)學(xué)習(xí)不系統(tǒng)

之前看到很多小伙伴在 b 站找了好多視頻，也去其他平臺買了點(diǎn)小課，百度云盤上也有 1-2T 的學(xué)習(xí)資料和視頻內(nèi)容，但是每一類學(xué)完都需要花費(fèi)不少時間，且內(nèi)容很多有重復(fù)性，學(xué)完 SQL 注入后，后面又看到另一家講這個 SQL 注入，還不錯，又會去學(xué)習(xí)一遍，發(fā)現(xiàn)學(xué)完所有 web 漏洞原理后，自己還是不太確定自己是否把 Web 漏洞這塊的知識點(diǎn)學(xué)全沒有；

5、自己解決問題難

對于初學(xué)者來說，很多會自己搭建一些靶場，但是由于配置環(huán)境等原因，耽誤時間會很多，尤其初學(xué)者碰到連續(xù) 3 個問題無法解決的時候，很容易放棄；對于一部分動手能力較差的同學(xué)，這塊可能會直接影響到繼續(xù)學(xué)習(xí)的信心；

6、實(shí)戰(zhàn)水平不夠

對于學(xué)網(wǎng)絡(luò)安全，滲透測試方向的技術(shù)，其實(shí)很大程度上學(xué)習(xí)的就是“黑客”技術(shù)，通過學(xué)習(xí)怎么進(jìn)攻和入侵，才能夠更清楚系統(tǒng)和應(yīng)用怎么去防御；而這塊也恰恰是網(wǎng)絡(luò)安全的核心，如果光有理論，實(shí)戰(zhàn)經(jīng)驗(yàn)少，也是較難去就業(yè)；在平時學(xué)習(xí)中，除了可以搭建一些開源的靶場用于練習(xí)，最好還是要有真實(shí)漏洞組成的靶場用于學(xué)習(xí)，當(dāng)然也可以去 SRC 平臺去滲透測試一些真實(shí)網(wǎng)站（一定要獲得授權(quán)才可以滲透真實(shí)網(wǎng)站），但是難度發(fā)現(xiàn)又比較大，很多初學(xué)者會喪失信心，懷疑自己；

7、內(nèi)網(wǎng)學(xué)習(xí)困難較大

Web 滲透這塊的資料在互聯(lián)網(wǎng)到處都是，學(xué)習(xí)起來相對較為輕松，但是內(nèi)網(wǎng)這塊的資料在互聯(lián)網(wǎng)相對較少，能夠借鑒的資料不多，另外也需要有相應(yīng)的靶場配合練習(xí)，才能有技術(shù)上的提高和積累；學(xué)習(xí)難度會比較大。

了解了問題，同時結(jié)合自身的一些特點(diǎn)來調(diào)整學(xué)習(xí)方向，會事半功倍，以下為 3 種學(xué)習(xí)線路，適用于不同的學(xué)習(xí)人群

方法 1：先學(xué)習(xí)編程，然后學(xué)習(xí) Web 滲透及工具使用等

適用人群：有一定的代碼基礎(chǔ)的小伙伴

（1）基礎(chǔ)部分

基礎(chǔ)部分需要學(xué)習(xí)以下內(nèi)容：

（1.1）計(jì)算機(jī)網(wǎng)絡(luò) ：

重點(diǎn)學(xué)習(xí) OSI、TCP/IP 模型，網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)設(shè)備工作原理等內(nèi)容，其他內(nèi)容快速通讀；

（1.2）Linux 系統(tǒng)及命令 ：

由于目前市面上的 Web 服務(wù)器 7 成都是運(yùn)行在 Linux 系統(tǒng)之上，如果要學(xué)習(xí)滲透 Web 系統(tǒng)，最起碼還是要對 linux 系統(tǒng)非常熟悉，常見的操作命令需要學(xué)會；

學(xué)習(xí)建議：學(xué)習(xí)常見的 10%左右的命令適用于 90%的工作場景，和 office 軟件一樣，掌握最常用的 10%的功能，基本日常使用沒什么問題，遇到不會的，再去找度娘；常見的 linux 命令也就 50-60 個，很多小白囫圇吞棗什么命令都學(xué)，發(fā)現(xiàn)記不住?。。。?！這個學(xué)習(xí)方法也是不對的；

（1.3）Web 框架 ：

熟悉 web 框架的內(nèi)容，前端 HTML，JS 等腳本語言了解即可，后端 PHP 語言重點(diǎn)學(xué)習(xí)，切記不要按照開發(fā)的思路去學(xué)習(xí)語言，php 最低要求會讀懂代碼即可，當(dāng)然會寫最好，但不是開發(fā)，但不是開發(fā)，但不是開發(fā)，重要的事情說三遍；

（1.4）數(shù)據(jù)庫：

需要學(xué)習(xí) SQL 語法，利用常見的數(shù)據(jù)庫 MySQL 學(xué)習(xí)對應(yīng)的數(shù)據(jù)庫語法，也是一樣，SQL 的一些些高級語法可以了解，如果沒有時間完全不學(xué)也不影響后續(xù)學(xué)習(xí)，畢竟大家不是做數(shù)據(jù)庫分析師，不需要學(xué)太深；

（2）Web 安全

（2.1）Web 滲透

掌握 OWASP 排名靠前的 10 余種常見的 Web 漏洞的原理、利用、防御等知識點(diǎn)，然后配以一定的靶場練習(xí)即可；有的小白可能會問，去哪里找資料，建議可以直接買一本較為權(quán)威的書籍，配合 b 站的免費(fèi)視頻系統(tǒng)學(xué)習(xí)，然后利用開源的靶場輔助練習(xí)即可；

【推薦靶場】常見的靶場都可以上 github 平臺搜索，推薦以下靶場 DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu?等，有些是綜合靶場，有些是專門針對某款漏洞的靶場；

（2.2）工具學(xué)習(xí)

Web 滲透階段還是需要掌握一些必要的工具，工具的學(xué)習(xí) b 站上的視頻比較多，挑選一些講解得不錯的視頻看看，不要一個工具看很多視頻，大多數(shù)視頻是重復(fù)的，且很浪費(fèi)時間；

主要要掌握的工具和平臺：**burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具 ssrs、hydra、medusa、airspoof 等，以上工具的練習(xí)完全可以利用上面的開源靶場去練習(xí)，足夠了。

練習(xí)差不多了，可以去 SRC 平臺滲透真實(shí)的站點(diǎn)，看看是否有突破，如果涉及到需要繞過 WAF 的，需要針對繞 WAF 專門去學(xué)習(xí)，姿勢也不是特別多，系統(tǒng)性學(xué)習(xí)學(xué)習(xí)，然后多總結(jié)經(jīng)驗(yàn)，更上一層樓。

（2.2）自動化滲透

自動化滲透需要掌握一門語言，且需要熟練運(yùn)用，可以是任何一門自己已經(jīng)掌握得很熟悉得語言，都可以，如果沒有一門掌握很好的，那我推薦學(xué)習(xí) python，最主要原因是學(xué)起來簡單，模塊也比較多，寫一些腳本和工具非常方便；

什么鬼？又要學(xué)習(xí)編程，剛才不是說了編程不是學(xué)習(xí)網(wǎng)絡(luò)安全的必要條件，不懂自動化滲透也不影響入門和就業(yè)，但是會影響職業(yè)的發(fā)展，且學(xué)習(xí) python 不需要掌握很多不需要的模塊，也不需要開發(fā)成千上萬行的代碼，僅利用它編寫一些工具和腳本，少則 10 幾行代碼，多則 1-200 行代碼，一般代碼量相對開發(fā)人員已經(jīng)少得不能再少了，例如一個精簡得域名爬蟲代碼核心代碼就 1-20 行而已；

有的小伙伴可能又急了，那到底需要怎么學(xué)嘛？

幾天時間學(xué)習(xí)一下 python 的語法，有代碼基礎(chǔ)得小哥哥和小姐姐，最快可能一天就可以學(xué)習(xí)完 python 的語法，因?yàn)檎Z言都是相通的，但是學(xué)習(xí)語言最快的就是寫代碼，別無他法；接下來可以開始嘗試寫一些常見得工具，如爬蟲、端口探測、數(shù)據(jù)包核心內(nèi)容提取、內(nèi)網(wǎng)活躍主機(jī)掃描等，此類代碼網(wǎng)上一搜一大把；然后再寫一些 POC 和 EXP 腳本，以靶場為練習(xí)即可；有的小伙伴可能又要問了，什么是 POC 和 EXP，自己度娘去，養(yǎng)成動手的好習(xí)慣；

（2.3）代碼審計(jì)

什么鬼？又要看代碼。此處內(nèi)容要求代碼能力比較高，因此如果代碼能力較弱，可以先跳過此部分的學(xué)習(xí)，不影響滲透道路上的學(xué)習(xí)和發(fā)展。

但是如果希望在 Web 滲透上需要走得再遠(yuǎn)一些，需要精通一門后臺開發(fā)語言，推薦 php，因?yàn)楹笈_采用 php 開發(fā)的網(wǎng)站占據(jù)最大，當(dāng)然你還精通 python、asp、java 等語言，那恭喜你，你已經(jīng)具備很好的基礎(chǔ)了；

代碼審計(jì)顧名思義，審計(jì)別人網(wǎng)站或者系統(tǒng)的源代碼，通過審計(jì)源代碼或者代碼環(huán)境的方式去審計(jì)系統(tǒng)是否存在漏洞（屬于白盒測試范疇）；

那具體要怎么學(xué)習(xí)呢？學(xué)習(xí)的具體內(nèi)容按照順序列舉如下：

掌握 php 一些危險函數(shù)和安全配置；

熟悉代碼審計(jì)的流程和方法；

掌握 1-2 個代碼審計(jì)工具，如 seay 等；

掌握常見的功能審計(jì)法；（推薦審計(jì)一下 AuditDemo，讓你產(chǎn)生自信）

常見 CMS 框架審計(jì)（難度大）；

【推薦書籍】代碼審計(jì)有一本國外的書籍《代碼審計(jì)：企業(yè)級 Web 代碼安全架構(gòu)》，當(dāng)然有空的時候可以去翻翻，建議還是在 b 站上找一套系統(tǒng)介紹的課程去學(xué)習(xí)；github 上找到 AuditDemo，下載源碼，搭建在本地虛擬機(jī)，然后利用工具和審計(jì)方法
，審計(jì) AuditDemo 中存在的 10 個漏洞，難度分布符合正態(tài)分布，可以挑戰(zhàn)一下；

至于 CMS 框架審計(jì)，可以去一些 CMS 官方網(wǎng)站，下載一些歷史存在漏洞的版本去審計(jì)，框架的學(xué)習(xí)利用官方網(wǎng)站的使用手冊即可，如 ThinkPHP3.2 版本是存在一些漏洞，可以嘗試讀懂代碼；但是切記不要一上來就看代碼，因?yàn)?CMS 框架的代碼量比較大，如果不系統(tǒng)先學(xué)習(xí)框架，基本屬于看不懂狀態(tài)；學(xué)習(xí)框架后能夠具備寫簡單的 POC，按照代碼審計(jì)方法結(jié)合工具一起審計(jì)框架；其實(shí)也沒有想想中的那么難，如果你是開發(fā)人員轉(zhuǎn)行的，恭喜你，你已經(jīng)具備代碼審計(jì)的先天性優(yōu)勢。

那有的小伙伴又問了，我代碼很差，不學(xué)習(xí)代碼審計(jì)行不行，代碼審計(jì)不是學(xué)習(xí)網(wǎng)絡(luò)安全的必要條件，能夠掌握最好，掌握不了也不影響后續(xù)的學(xué)習(xí)和就業(yè)，但你需要選擇一個階段，練習(xí)得更專業(yè)精通一些，如 web 滲透或者內(nèi)網(wǎng)滲透，再或者是自動化滲透；

（3）內(nèi)網(wǎng)安全

恭喜你，如果學(xué)到這里，你基本可以從事一份網(wǎng)絡(luò)安全相關(guān)的工作，比如滲透測試、Web 滲透、安全服務(wù)、安全分析等崗位；

如果想就業(yè)面更寬一些，技術(shù)競爭更強(qiáng)一些，需要再學(xué)習(xí)內(nèi)網(wǎng)滲透相關(guān)知識；

內(nèi)網(wǎng)的知識難度稍微偏大一些，這個和目前市面上的學(xué)習(xí)資料還有靶場有一定的關(guān)系；內(nèi)網(wǎng)主要學(xué)習(xí)的內(nèi)容主要有：內(nèi)網(wǎng)信息收集、域滲透、代理和轉(zhuǎn)發(fā)技術(shù)、應(yīng)用和系統(tǒng)提權(quán)、工具學(xué)習(xí)、免殺技術(shù)、APT 等等；

不要和我說專業(yè)名詞，叭叭叭叭叭叭！具體要怎么學(xué)？

【推薦書籍】這個問題有點(diǎn)大，呃呃呃呃呃呃！可以看《內(nèi)網(wǎng)安全攻防：滲透測試實(shí)戰(zhàn)指南》，這本書寫得還不錯，國內(nèi)為數(shù)不多講內(nèi)網(wǎng)的書籍，以書籍目錄為主線，然后配合工具和靶場去練習(xí)即可；

那小伙伴又要問了，那去哪里可以下載到內(nèi)網(wǎng)靶場！呃呃呃呃呃！這個難倒我了，如果你能力夠強(qiáng)，電腦配置高，可以自己利用虛擬機(jī)搭建內(nèi)網(wǎng)環(huán)境，一般需要 3 臺以上的虛擬機(jī)；你也可以到國外找一些內(nèi)網(wǎng)靶場使用，有一些收費(fèi)的靶場還可以；

（4）滲透拓展

滲透拓展部分，和具體工作崗位聯(lián)系也比較緊密，盡量要求掌握，主要有日志分析、安全加固、應(yīng)急響應(yīng)、等保測評等內(nèi)容；其中重點(diǎn)掌握前三部分，這塊的資料網(wǎng)絡(luò)上也不多，也沒有多少成型的書籍資料，可通過行業(yè)相關(guān)的技術(shù)群或者行業(yè)分享的資料去學(xué)習(xí)即可，能學(xué)到這一步，基本上已經(jīng)算入門成功，學(xué)習(xí)日志分析、安全加固、應(yīng)急響應(yīng)三部分的知識也相對較為容易。

方法 2：先學(xué)習(xí) Web 滲透及工具，然后再學(xué)習(xí)編程

適用人群：代碼能力很弱，或者根本沒有什么代碼能力，其他基礎(chǔ)也比較差的小伙伴

那有的小伙伴就會問了，那你基礎(chǔ)都不打好，怎么學(xué)習(xí) Web 滲透？

基礎(chǔ)部分還是要學(xué)習(xí)的，比如 linux 系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、一點(diǎn)點(diǎn)的 Web 框架、數(shù)據(jù)庫還是需要提前掌握；

那像 php 語言、自動化滲透和代碼審計(jì)部分內(nèi)容，可以放在最后，當(dāng)學(xué)習(xí)完畢前面知識后，也相當(dāng)入門后，再來學(xué)習(xí)語言，相對會容易一些；

【優(yōu)先推薦】方法 2，對于小白來說，代碼基礎(chǔ)通常較弱，很多很多小白會倒在前期學(xué)習(xí)語言上，所以推薦方法 2 的學(xué)習(xí)，先學(xué)習(xí) web 滲透和工具，也比較有意思，容易保持一個高漲的學(xué)習(xí)動力和熱情，具體學(xué)習(xí)內(nèi)容我就不說了，請小伙伴們參照方法 1 即可。

最后

從時代發(fā)展的角度看，網(wǎng)絡(luò)安全的知識是學(xué)不完的，而且以后要學(xué)的會更多，同學(xué)們要擺正心態(tài)，既然選擇入門網(wǎng)絡(luò)安全，就不能僅僅只是入門程度而已，能力越強(qiáng)機(jī)會才越多。

因?yàn)槿腴T學(xué)習(xí)階段知識點(diǎn)比較雜，所以我講得比較籠統(tǒng)，大家如果有不懂的地方可以找我咨詢，我保證知無不言言無不盡，需要相關(guān)資料也可以找我要，我的網(wǎng)盤里一大堆資料都在吃灰呢。需要的小伙伴評論區(qū)留言666我發(fā)你

文章來源地址http://www.zghlxwxcb.cn/news/detail-472984.html

到了這里，關(guān)于自學(xué)網(wǎng)絡(luò)安全解決問題方法的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！