一文告诉你！零基础如何学习网络安全?建议收藏

其实对于进入网络安全人来说，Web安全是最容易入门的，因为它不需要有编程语言基础，所以，只要是目标明确、想在Web安全方向发展，且足够努力的同学，从零进入Web安全或跨行Web安全是很容易的，这也是为什么近年来从其他行业或者岗位转到Web安全岗的人在不断增加。

虽然Web安全的就业前景很大，入门门槛也相对较低，但是，对于0-3年的Web安全新人，要转行Web安全往往还是存在以下方面困惑和迷茫。

没方向：Web安全种类千千万，不知道自己适合哪一类！

没方法：没经验缺方法、面试通不过、应该从哪儿学起没头绪

没人带：野路子、没人教、没有完整的学习体系，始终得不到成长

没机会：想进入Web安全领域，没有合适路径，敲不开大门

完整的web安全工程师学习路线

01、HTTP基础

只有搞明白Web是什么，我们才能对Web安全进行深入研究，所以你必须了解HTTP，了解了HTTP，你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”，特殊数据在数据流的每个层处理，如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。关于HTTP，你必须要弄明白以下知识：

HTTP/HTTPS特点、工作流程

HTTP协议（请求篇、响应篇）

了解HTML、Javascript

Get/Post区别

Cookie/Session是什么？

02、了解如下专业术语的意思

Webshell

菜刀

0day

SQL注入

上传漏洞

XSS

CSRF

一句话木马

.....

03、专业黑客工具使用

熟悉如何渗透测试安全工具，掌握这些工具能大大提高你在工作的中的效率。

Vmware安装

Windows/kali虚拟机安装

Phpstudy、LAMP环境搭建漏洞靶场

Java、Python环境安装

子域名工具 Sublist3r

Sqlmap

Burpsuite

Nmap

W3af

Nessus

Appscan

AWVS

04、XSS

要研究 XSS 首先了解同源策略 ，Javascript 也要好好学习一下 ，以及HTML实体 HTML实体的10 或16进制还有Javascript 的8进制和16进制编码，最终掌握以下几种类型的XSS：

反射型 XSS：可用于钓鱼、引流、配合其他漏洞，如 CSRF 等。

存储型 XSS：攻击范围广，流量传播大，可配合其他漏洞。

DOM 型 XSS：配合，长度大小不受限制 。

05、SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识：

SQL 注入漏洞原理

SQL 注入漏洞对于数据安全的影响

SQL 注入漏洞的方法

常见数据库的 SQL 查询语法

MSSQL,MYSQL,ORACLE 数据库的注入方法

SQL 注入漏洞的类型：数字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、宽字节注入

SQL 注入漏洞修复和防范方法

一些 SQL 注入漏洞检测工具的使用方法

06、文件上传漏洞

了解下开源编辑器上传都有哪些漏洞，如何绕过系统检测上传一句话木马、WAF如何查杀Webshell，你必须要掌握的一些技能点：

1.客户端检测绕过（JS 检测）

2.服务器检测绕过（目录路径检测）

3.黑名单检测

4.危险解析绕过攻击

5..htaccess 文件

6.解析调用/漏洞绕过

7.白名单检测

8.解析调用/漏洞绕过

9.服务端检测绕过-文件内容检测

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07、文件包含漏洞

去学习下 include() include_once() require() require_once() fopen() readfile() 这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别，以及利用文件包含时的一些技巧如：截断 /伪url/超长字符截断等 。

08、命令执行漏洞

PHP代码中常见的代码执行函数有：

eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。

了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。

09、CSRF 跨站点请求

为什么会造成CSRF，GET型与POST型CSRF 的区别, 如何防御使用 Token防止CSRF？

10、逻辑漏洞

了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞：

信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.

11、XEE（XML外部实体注入）

当允许XML引入外部实体时，通过构造恶意内容，可以导致文件读取、命令执行、内网探测等危害。

12、 SSRF

了解SSRF的原理,以及SSRF的危害。

SSRF能做什么？当我们在进行Web渗透的时候是无法访问目标的内部网络的，那么这个时候就用到了SSRF漏洞，利用外网存在SSRF的Web站点可以获取如下信息。

1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;

2.攻击运行在内网或本地的应用程序（比如溢出）;

3.对内网Web应用进行指纹识别，通过访问默认文件实现;

4.攻击内外网的Web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）;

5.利用file协议读取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了。

因此，为了让你快速入门Web安全，老师将在课程中分享我们针对上百家企业的Web安全工程师岗位做了深度调研，总结出的Web安全学习路径，帮大家建立Web安全整体知识体系。

Web安全的范围实在太大，哪些先学，哪些后学,如果没有系统的路线会降低大家效率，对于刚入门的同学们来说简直就是“噩梦”。所以，这篇类似学习路线的文章，希望可以帮助刚入门的萌新们少走弯路。

如果你是想成为Web安全工程师的在校大学生，或是0 基础、想要转行做Web安全的小白，给大家安利一个实战训练营，这门课程也适合对自身安全职业发展规划不清晰、有困惑的Web安全工程师来看一看，点击下面卡片可直接报名

最后，未来的互联网行业中一定需要更多的复合型人才，所以，如果你是运维、开发、IT等与Web安全息息相关的“兄弟”岗位，也推荐你来了解下Web安全的思维模式及工作方式，相信这对你后续的工作推进，有更多的帮助！

它一定不能解决你的所有问题。但是，它会是你“提升”的开始，从认知上改变你对Web安全岗位和行业的理解，进一步帮你掌握核心能力、完成职业路线的规划，成为更受企业欢迎的安全人才！

‍‍‍‍‍‍‍200本电子书，网络安全标准题库，CTF赛前文档，网络安全300个知识点学习路线图等戳这里！！！