零基础学习网络安全，到底如何入门？这篇文章或许适合你，超详细的网络安全零基础学习路线

其实对于进入网络安全人来说，Web安全是最容易入门的，因为它不需要有编程语言基础，所以，只要是目标明确、想在Web安全方向发展，且足够努力的同学，从零进入Web安全或跨行Web安全是很容易的，这也是为什么近年来从其他行业或者岗位转到Web安全岗的人在不断增加。

虽然Web安全的就业前景很大，入门门槛也相对较低，但是，对于0-3年的Web安全新人，要转行Web安全往往还是存在以下方面困惑和迷茫。

没方向：Web安全种类千千万，不知道自己适合哪一类！

没方法：没经验缺方法、面试通不过、应该从哪儿学起没头绪

没人带：野路子、没人教、没有完整的学习体系，始终得不到成长

没机会：想进入Web安全领域，没有合适路径，敲不开大门

完整的web安全工程师学习路线

01、HTTP基础

只有搞明白Web是什么，我们才能对Web安全进行深入研究，所以你必须了解HTTP，了解了HTTP，你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”，特殊数据在数据流的de每个层处理，如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。关于HTTP，你必须要弄明白以下知识：

HTTP/HTTPS特点、工作流程

HTTP协议（请求篇、响应篇）

了解HTML、Javascript

Get/Post区别

Cookie/Session是什么？

02、了解如下专业术语的意思

Webshell

菜刀

0day

SQL注入

上传漏洞

XSS

CSRF

一句话木马

.....

03、专业黑客工具使用

熟悉如何渗透测试安全工具，掌握这些工具能大大提高你在工作的中的效率。

Vmware安装

Windows/kali虚拟机安装

Phpstudy、LAMP环境搭建漏洞靶场

Java、Python环境安装

子域名工具 Sublist3r

Sqlmap

Burpsuite

Nmap

W3af

Nessus

Appscan

AWVS

04、XSS

要研究 XSS 首先了解同源策略 ，Javascript 也要好好学习一下 ，以及HTML实体 HTML实体的10 或16进制还有Javascript 8进制的和16进制编码，最终掌握以下几种类型的XSS：

反射型 XSS：可用于钓鱼、引流、配合其他漏洞，如 CSRF 等。

存储型 XSS：攻击范围广，流量传播大，可配合其他漏洞。

DOM 型 XSS：配合，长度大小不受限制 。

05、SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识：

SQL 注入漏洞原理

SQL 注入漏洞对于数据安全的影响

SQL 注入漏洞的方法

常见数据库的 SQL 查询语法

MSSQL,MYSQL,ORACLE 数据库的注入方法

SQL 注入漏洞的类型：数字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、宽字节注入

SQL 注入漏洞修复和防范方法

一些 SQL 注入漏洞检测工具的使用方法

06、文件上传漏洞

了解下开源编辑器上传都有哪些漏洞，如何绕过系统检测上传一句话木马、WAF如何查杀Webshell，你必须要掌握的一些技能点：

1.客户端检测绕过（JS 检测）

2.服务器检测绕过（目录路径检测）

3.黑名单检测

4.危险解析绕过攻击

5..htaccess 文件

6.解析调用/漏洞绕过

7.白名单检测

8.解析调用/漏洞绕过

9.服务端检测绕过-文件内容检测

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07、文件包含漏洞

去学习下 include() include_once() () require_once() fopen() readfile() 这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别，以及利用文件包含时的一些技巧如：截断 /伪url/超长字符截断等 。

08、命令执行漏洞

PHP代码中常见的代码执行函数有：

eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。

了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。

09、CSRF 跨站点请求

为什么会造成CSRF，GET型与POST型CSRF 的区别, 如何防御使用 Token防止CSRF？

10、逻辑漏洞

了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞：

信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.

11、XEE（XML外部实体注入）

当允许XML引入外部实体时，通过构造恶意内容，可以导致文件读取、命令执行、内网探测等危害。

12、 SSRF

了解SSRF的原理,以及SSRF的危害。

SSRF能做什么？当我们在进行Web渗透的时候是无法访问目标的内部网络的，那么这个时候就用到了SSRF漏洞，利用外网存在SSRF的Web站点可以获取如下信息。

1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;

2.攻击运行在内网或本地的应用程序（比如溢出）;

3.对内网Web应用进行指纹识别，通过访问默认文件实现;

4.攻击内外网的Web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）;

5.利用file协议读取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了，找一份10k左右的工作不成问题。

网络安全学习资源推荐

最后给大家分享一份全套的网络安全学习籽料，给那些想学习，想转行网络安全的同学一点点帮助！

对于从来没有学习过网络安全的同学，我们帮你准备了一份详细的从入门到就业的学习路线图！我们公司几位大佬花了几天时间做出来的学习路线图，跟着这个学习，保证没问题！

同学们有需要的话可以v扫描下方二维码联系领取~

零基础入门

1.学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

2.学习视频

从基础到进阶都有学习视频提供

3.学习书籍推荐（PDF）

4.面试资料

因篇幅有限，籽料较为敏感仅展示部分籽料，添加上方即可获取↑