?前言

一、什么是網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全可以基于攻擊和防御視角來分類，我們經(jīng)常聽到的 “紅隊(duì)”、“滲透測試” 等就是研究攻擊技術(shù)，而“藍(lán)隊(duì)”、“安全運(yùn)營”、“安全運(yùn)維”則研究防御技術(shù)。

? ? 無論網(wǎng)絡(luò)、Web、移動(dòng)、桌面、云等哪個(gè)領(lǐng)域，都有攻與防兩面性，例如 Web 安全技術(shù)，既有 Web 滲透，也有 Web 防御技術(shù)（WAF）。作為一個(gè)合格的網(wǎng)絡(luò)安全工程師，應(yīng)該做到攻守兼?zhèn)洌吘怪褐?，才能百?zhàn)百勝。

二、怎樣規(guī)劃網(wǎng)絡(luò)安全

? ?如果你是一個(gè)安全行業(yè)新人，我建議你先從網(wǎng)絡(luò)安全或者Web安全/滲透測試這兩個(gè)方向先學(xué)起，一是市場需求量高，二則是發(fā)展相對(duì)成熟入門比較容易。

? ? 值得一提的是，學(xué)網(wǎng)絡(luò)安全，是先網(wǎng)絡(luò)后安全；學(xué)Web安全，也是先Web再有安全。

? ? 安全不是獨(dú)立存在的，而是建立在其他技術(shù)基礎(chǔ)之上的上層應(yīng)用技術(shù)。脫離了這個(gè)基礎(chǔ)，就很容易變成紙上談兵，變成“知其然，不知其所以然”，在安全的職業(yè)道路上也很難走遠(yuǎn)。

• ? ? ? ? 如果你是原本從事網(wǎng)工運(yùn)維，那么可以選擇網(wǎng)絡(luò)安全方向入門；
• ? ? ? ? 如果你原本從事程序開發(fā)，推薦選擇Web安全/滲透測試方向入門。

當(dāng)然學(xué)到一定程度、或者有了一定工作經(jīng)驗(yàn)，不同方向的技術(shù)耦合會(huì)越來越高，各個(gè)方向都需要會(huì)一點(diǎn)。

根據(jù)以上網(wǎng)絡(luò)安全技能表不難看出，網(wǎng)絡(luò)安全需要接觸的技術(shù)還遠(yuǎn)遠(yuǎn)很多，

常見的技能需要學(xué)習(xí)：

• ?外圍打點(diǎn)能力
• ?釣魚遠(yuǎn)控能力
• ?域滲透能力、
• ?流量分析能力
• ?漏洞挖掘能力
• ?代碼審計(jì)能力等

? ? ? ? 【一一幫助安全學(xué)習(xí)，所有資源一一】
? ? ? ? ①網(wǎng)絡(luò)安全學(xué)習(xí)路線
? ? ? ? ②20份滲透測試電子書
? ? ? ? ③安全攻防357頁筆記
? ? ? ? ④50份安全攻防面試指南
? ? ? ? ⑤安全紅隊(duì)滲透工具包
? ? ? ? ⑥網(wǎng)絡(luò)安全必備書籍
? ? ? ? ⑦100個(gè)漏洞實(shí)戰(zhàn)案例
? ? ? ? ⑧安全大廠內(nèi)部視頻資源
? ? ? ? ⑨歷年CTF奪旗賽題解析
? ? ? ? 【一—評(píng)論區(qū)留言告訴我即可一一】

三、網(wǎng)絡(luò)安全的知識(shí)多而雜，怎么科學(xué)合理安排？

1、基礎(chǔ)階段
?

• 中華人民共和國網(wǎng)絡(luò)安全法 （包含18個(gè)知識(shí)點(diǎn)）
• ?Linux操作系統(tǒng) （包含16個(gè)知識(shí)點(diǎn)）
• ?計(jì)算機(jī)網(wǎng)絡(luò) （包含12個(gè)知識(shí)點(diǎn)）
• ?SHELL （包含14個(gè)知識(shí)點(diǎn)）
• ?HTML/CSS （包含44個(gè)知識(shí)點(diǎn)）
• ?JavaScript （包含41個(gè)知識(shí)點(diǎn)）
• ?PHP入門 （包含12個(gè)知識(shí)點(diǎn)）
• ?MySQL數(shù)據(jù)庫 （包含30個(gè)知識(shí)點(diǎn)）
• ?Python （包含18個(gè)知識(shí)點(diǎn)）

入門的第一步是系統(tǒng)化的學(xué)習(xí)計(jì)算機(jī)基礎(chǔ)知識(shí)，也就是學(xué)習(xí)以下這幾個(gè)基礎(chǔ)知識(shí)模塊:操作系統(tǒng)、協(xié)議/網(wǎng)絡(luò)、數(shù)據(jù)庫、開發(fā)語言、常用漏洞原理。

前面的基礎(chǔ)知識(shí)學(xué)完之后，就要進(jìn)行實(shí)操了。

因?yàn)榛ヂ?lián)網(wǎng)與信息化的普及網(wǎng)站系統(tǒng)對(duì)外的業(yè)務(wù)比較多,而且程序員的水平參差不齊和運(yùn)維人員的配置事物，所以需要掌握的內(nèi)容比較多。

2、滲透階段
?

• SQL注入的滲透與防御（包含36個(gè)知識(shí)點(diǎn)）
• ?XSS相關(guān)滲透與防御（包含12個(gè)知識(shí)點(diǎn)）
• ?上傳驗(yàn)證滲透與防御（包含16個(gè)知識(shí)點(diǎn)）
• ?文件包含滲透與防御（包含12個(gè)知識(shí)點(diǎn)）
• ?CSRF滲透與防御（包含7個(gè)知識(shí)點(diǎn)）
• ?SSRF滲透與防御（包含6個(gè)知識(shí)點(diǎn)）
• ?XXE滲透與防御（包含5個(gè)知識(shí)點(diǎn)）
• ?遠(yuǎn)程代碼執(zhí)行滲透與防御（包含7個(gè)知識(shí)點(diǎn)）

掌握常見漏洞的原理、使用、防御等知識(shí)。Web滲透階段還是需要掌握一些必要的工具。

主要要掌握的工具和平臺(tái)：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的練習(xí)完全可以利用上面的開源靶場去練習(xí)，足夠了；

3、安全管理（提升）

• ?滲透報(bào)告編寫（包含21個(gè)知識(shí)點(diǎn)）
• ?等級(jí)保護(hù)2.0（包含50個(gè)知識(shí)點(diǎn)）
• ?應(yīng)急響應(yīng)（包含5個(gè)知識(shí)點(diǎn)）
• ?代碼審計(jì)（包含8個(gè)知識(shí)點(diǎn)）
• ?風(fēng)險(xiǎn)評(píng)估（包含11個(gè)知識(shí)點(diǎn)）
• ?安全巡檢（包含12個(gè)知識(shí)點(diǎn)）
• ?數(shù)據(jù)安全（包含25個(gè)知識(shí)點(diǎn)）

主要包括滲透報(bào)告編寫、網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)、應(yīng)急響應(yīng)、代碼審計(jì)、風(fēng)險(xiǎn)評(píng)估、安全巡檢、數(shù)據(jù)安全、法律法規(guī)匯編等。

這一階段主要針對(duì)已經(jīng)從事網(wǎng)絡(luò)安全相關(guān)工作需要提升進(jìn)階成管理層的崗位。
如果你只學(xué)習(xí)參加工程師方面的崗位，這一階段可學(xué)可不學(xué)。

4、提升階段（提升）

• 密碼學(xué)（包含34個(gè)知識(shí)點(diǎn)）
• ?JavaSE入門（包含92個(gè)知識(shí)點(diǎn)）
• ?C語言（包含140個(gè)知識(shí)點(diǎn)）
• ?C++語言（包含181個(gè)知識(shí)點(diǎn)）
• ?Windows逆向（包含46個(gè)知識(shí)點(diǎn)）
• ?CTF奪旗賽（包含36個(gè)知識(shí)點(diǎn)）
• ?Android逆向（包含40個(gè)知識(shí)點(diǎn)）

主要包括密碼學(xué)、JavaSE、C語言、C++、Windows逆向、CTF奪旗賽、Android逆向等。

主要針對(duì)已經(jīng)從事網(wǎng)絡(luò)安全相關(guān)工作需要提升進(jìn)階安全架構(gòu)需要提升的知識(shí)。

四、網(wǎng)絡(luò)安全學(xué)習(xí)路線

如果你真的想通過自學(xué)的方式入門web安全的話，那建議你看看下面這個(gè)學(xué)習(xí)路線圖，具體到每個(gè)知識(shí)點(diǎn)學(xué)多久，怎么學(xué)，自學(xué)時(shí)間共計(jì)半年左右，親測有效（文末有驚喜）：

1、Web安全相關(guān)概念（2周）
?

• 熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）。
• ?通過關(guān)鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進(jìn)行Google/SecWiki；
• ?閱讀《精通腳本黑客》，雖然很舊也有錯(cuò)誤，但是入門還是可以的；
• ?看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過程，可以Google（滲透筆記、滲透過程、入侵過程等）；

2、熟悉滲透相關(guān)工具（3周）
?

• 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關(guān)工具的使用。
• ?了解該類工具的用途和使用場景，先用軟件名字Google/SecWiki；
• ?下載無后門版的這些軟件進(jìn)行安裝；
• ?學(xué)習(xí)并進(jìn)行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；
• ?待常用的這幾個(gè)軟件都學(xué)會(huì)了可以安裝音速啟動(dòng)做一個(gè)滲透工具箱；

3、滲透實(shí)戰(zhàn)操作（5周）
?

• 掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。
• ?網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫備份、dedecms漏洞利用等等）；
• ?自己找站點(diǎn)/搭建測試環(huán)境進(jìn)行測試，記住請(qǐng)隱藏好你自己；
• ?思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做那些工作，例如這個(gè)：PTES滲透測試執(zhí)行標(biāo)準(zhǔn)；
• ?研究SQL注入的種類、注入原理、手動(dòng)注入技巧；
• ?研究文件上傳的原理，如何進(jìn)行截?cái)?、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架；
• ?研究XSS形成的原理和種類，具體學(xué)習(xí)方法可以Google/SecWiki，可以參考：XSS；
• ?研究Windows/Linux提權(quán)的方法和具體使用，可以參考：提權(quán)；
• ?可以參考: 開源滲透測試脆弱系統(tǒng)；

4、關(guān)注安全圈動(dòng)態(tài)（1周）
?

• 關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章。
• ?通過SecWiki瀏覽每日的安全技術(shù)文章/事件；
• ?通過Weibo/twitter關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時(shí)間刷一下；
• ?通過feedly/鮮果訂閱國內(nèi)外安全技術(shù)博客（不要僅限于國內(nèi)，平時(shí)多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目；
• ?養(yǎng)成習(xí)慣，每天主動(dòng)提交安全技術(shù)文章鏈接到SecWiki進(jìn)行積淀；
• ?多關(guān)注下最新漏洞列表，推薦幾個(gè)：exploit-db、CVE中文庫、Wooyun等，遇到公開的漏洞都去實(shí)踐下。
• ?關(guān)注國內(nèi)國際上的安全會(huì)議的議題或者錄像，推薦SecWiki-Conference。

5、熟悉Windows/Kali Linux（3周）
?

• 學(xué)習(xí)Windows/Kali Linux基本命令、常用工具；
• ?熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；
• ?熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；
• ?熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；
• ?熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測試指南》。

6、服務(wù)器安全配置（3周）
?

• 學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過思考發(fā)現(xiàn)配置存在的安全問題。
• ?Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運(yùn)行權(quán)限，可以參考：SecWiki-配置；
• ?Linux環(huán)境下的LAMP的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等，可以參考：SecWiki-配置；
• ?遠(yuǎn)程系統(tǒng)加固，限制用戶名和口令登陸，通過iptables限制端口；
• ?配置軟件Waf加強(qiáng)系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)，參見SecWiki-ModSecurity；
• ?通過Nessus軟件對(duì)配置環(huán)境進(jìn)行安全檢測，發(fā)現(xiàn)未知安全威脅。

7、腳本編程學(xué)習(xí)（4周）
?

選擇腳本語言Perl/Python/PHP/Go/Java中的一種，對(duì)常用庫進(jìn)行編程學(xué)習(xí)。
?搭建開發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime，一些Sublime的技巧：SecWiki-Sublime；
?Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫，推薦《Python核心編程》，不要看完；
?用Python編寫漏洞的exp，然后寫一個(gè)簡單的網(wǎng)絡(luò)爬蟲，可參見SecWiki-爬蟲、視頻；
?PHP基本語法學(xué)習(xí)并書寫一個(gè)簡單的博客系統(tǒng)，參見《PHP與MySQL程序設(shè)計(jì)（第4版）》、視頻；
?熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架（可選）；
?了解Bootstrap的布局或者CSS，可以參考：SecWiki-Bootstrap;

8、源碼審計(jì)與漏洞分析（3周）
?

• 能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問題。
• ?熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序，參見SecWiki-審計(jì)；
• ?從Wooyun上尋找開源程序的漏洞進(jìn)行分析并試著自己分析；
• ?了解Web漏洞的形成原因，然后通過關(guān)鍵字進(jìn)行查找分析，參見SecWiki-代碼審計(jì)、高級(jí)PHP應(yīng)用程序漏洞審核技術(shù)；
• ?研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

9、安全體系設(shè)計(jì)與開發(fā)（5周）

• ?能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。
• ?開發(fā)一些實(shí)用的安全小工具并開源，體現(xiàn)個(gè)人實(shí)力；
• ?建立自己的安全體系，對(duì)公司安全有自己的一些認(rèn)識(shí)和見解；
• ?提出或者加入大型安全系統(tǒng)的架構(gòu)或者開發(fā)；

最后 ? ?

在整理好自己的知識(shí)框架，知道該怎么學(xué)習(xí)之后，下一步就是往框架里面填充內(nèi)容了。
? ? 此時(shí)我們的選擇也可以很多，比如CSDN，比如知乎，再比如B站，都有很多人在分享自己的學(xué)習(xí)資料，但我覺得這里存在的很大一個(gè)問題就是不連貫、不完善，大部分免費(fèi)分享的教程，都是東一塊西一塊，前言不搭后語，學(xué)著學(xué)著就蒙了，這是我自學(xué)之后的親身感受。

? ? ? ?如果你確實(shí)想自學(xué)的話，我可以把我自己整理收藏的這些教程分享給你，里面不僅有web安全，還有滲透測試等等內(nèi)容，包含電子書、面試題、pdf文檔、視頻以及相關(guān)的課件筆記，我都已經(jīng)學(xué)過了，點(diǎn)贊收藏評(píng)論區(qū)留言“已關(guān)注 求 ”！都可以免費(fèi)分享給大家！等不及的小伙伴也可以直接厚臺(tái)踢我！或者關(guān)注我之后后臺(tái)會(huì)自動(dòng)發(fā)送給大家！關(guān)注后大家注意看后臺(tái)消息就行！

? ? 給小伙伴們的意見是想清楚，自學(xué)網(wǎng)絡(luò)安全沒有捷徑，相比而言系統(tǒng)的網(wǎng)絡(luò)安全是最節(jié)省成本的方式，因?yàn)槟軌驇湍愎?jié)省大量的時(shí)間和精力成本。堅(jiān)持住，既然已經(jīng)走到這條路上，雖然前途看似困難重重，只要咬牙堅(jiān)持，最終會(huì)收到你想要的效果。

• 網(wǎng)絡(luò)安全學(xué)習(xí)資料和教程，關(guān)注自動(dòng)發(fā)送

計(jì)算機(jī)操作系統(tǒng)：

【1】編碼：隱藏在計(jì)算機(jī)軟硬件背后的語言

【2】深入理解操作系統(tǒng)

【3】深入理解windows操作系統(tǒng)

【4】Linux內(nèi)核與實(shí)現(xiàn)

編程開發(fā)類：

【1】 windows程序設(shè)計(jì)

【2】windwos核心變成

【3】Linux程序設(shè)計(jì)

【4】unix環(huán)境高級(jí)變成

【5】IOS變成

【6】第一行代碼Android

【7】C程序語言設(shè)計(jì)

【8】C primer plus

【9】C和指針

【10】C專家編程

【11】C陷阱與缺陷

【12】匯編語言（王爽）

【13】java核心技術(shù)

【14】java編程思想

【15】Python核心編程

【16】Linuxshell腳本攻略

【17】算法導(dǎo)論

【18】編譯原理

【19】編譯與反編譯技術(shù)實(shí)戰(zhàn)

【20】代碼整潔之道

【21】代碼大全

【22】TCP/IP詳解

【23】Rootkit ： 系統(tǒng)灰色地帶的潛伏者

【24】黑客攻防技術(shù)寶典

【25】加密與解密

【26】C++ 反匯編與逆向分析技術(shù)揭秘

【27】web安全測試

【28】白帽子講web安全

【29】精通腳本黑客

【30】web 前端黑客技術(shù)揭秘

【31】程序員的應(yīng)用

【32】英語寫作手冊(cè)：風(fēng)格的要素

特別聲明：
? ? ? ? 此教程為純技術(shù)分享！本教程的目的決不是為那些懷有不良動(dòng)機(jī)的人提供及技術(shù)支持！也不承擔(dān)因?yàn)榧夹g(shù)被濫用所產(chǎn)生的連帶責(zé)任！本教程的目的在于最大限度地喚醒大家對(duì)網(wǎng)絡(luò)安全的重視，并采取相應(yīng)的安全措施，從而減少由網(wǎng)絡(luò)安全而帶來的經(jīng)濟(jì)損失。文章來源地址http://www.zghlxwxcb.cn/news/detail-707793.html

到了這里，關(guān)于網(wǎng)絡(luò)安全（黑客）技術(shù)自學(xué)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！