网安人的书单来了！10本必读书籍，一定要看！（附pdf）

作为一名网安人，身上肩负的责任是很大的，能力越大，责任也越大，反过来责任越大，能力也必须跟得上。

以前我们通过读书来获取知识，但在碎片化的现代社会，阅读已经成为一件“奢侈”的事儿了，但静下心来阅读，你会发现，书的海洋还是及其广阔的。

今天整理了一批网安人必看的几本书籍，大多都是耳熟能详的书，排名不分先后，仅供参考。

一、Web安全攻防

这本书共537页7大章，参编作者也在大厂工作过（天融信、绿盟），书的知名度还是不低的。

该书实战性很强，前期踩点、后期提权、内网渗透讲得比较细致；其次进阶性比较好，各种技术细微知识点，都概括的很好，很适合入门道进阶学习；后面还介绍了一些渗透技术、经验和工具等，参考性很强。

二、白帽子讲web安全

 

这本书共499页，4大篇，18章，是阿里最年轻的高级技术专家吴翰清的著作，在全球各地都有发行，安全从业必读书籍，很多业内人士也都强烈推荐。

该书是作者的是实际工作经验，也是web安全核心知识点的集合，可操行比较强，实际参考性比较强。有的章节末尾，还附上了作者以前写的博客文章，可以用于延伸阅读。

三、Web安全深度剖析

全书共362页16章，作者张炳帅，适合渗透测试人员、Web开发人员、安全咨询顾问等人员阅读。

和《Web安全攻防》一样，偏向于实战，不同的是这本书主要讲解的是Web攻击的各种经典手段、方案、核心技术等，此外还介绍了一些检测方式，可以学习参考一下。

 四、黑客攻防技术宝典（Web实战篇）

这本书是外国的著作，共644页21章，是图灵程序设计丛书-网络安全系列的一本，其他还有《黑客攻防技术宝典·系统实战篇》《黑客攻防技术宝典·IOS实战篇》《黑客攻防技术宝典·浏览器实战篇》《黑客攻防技术宝典·反病毒篇》等7册。

许多外国业内人士对这本书的评价很高，它是Web安全领域专家的经验结晶，条理很清晰，内容特别丰富，很高深很有阅读价值。相对地阅读门槛业比较高，再加上是外国的书，翻译过来可能有些许差错，阅读难度也比较大。

五、黑客攻防实战从入门到精通

该书共476页，作者武新华、孙振辉。

这本书围绕攻、防两个角度，采用图例、图释、标注等方式，教你如何防范服务器被侵入、局域网被攻击、银行账号被破解、敏感资料被窃取等实战，重操作技巧。图文结合的方式，阅读起来比较轻松，新手也可以通读，可以提高实战技能。

 六、日志管理与分析权威指南

该书共337页，是世界级日志管理与分析专家亲笔撰写。

IT工作者免不了要写日志，安全从业者也会有安全日志，它的撰写还是很重要的，目前讲日志的书不多，这个算其中一个推荐度比较高的。书中以大量实例介绍了日志方面的实践，还有云计算和大数据环境下的日志分析技术和工具，讲解比较详细。

七、Kali Linux高级渗透测试

对于安全从业者来说，Kali Linux有多重要，多普遍就不用赘述了，这本书是印度作者编写的，共419页。

从攻击者的角度来审视网络框架，包含了大量实例、源码、渗透测试工具、方法和实践，第2版还在第1版的基础上，增加了一些内容，更全面，技术参考性更强。

八、黑客社会工程学攻防演练 

 

社会工程学技术将黑客入侵进行了最大化，也是安全从业者需要掌握的一门学问。

该书共336页，以图片、图释、指引线的方式介绍防护黑客攻击的方法，有利于掌握反黑知识、工具和修复技巧。除了安全从业者来说，也适合网络爱好者作为速查手册，阅读门槛比较低。

 九、XSS跨站脚本攻击剖析与防御

 这本书是国内第一本专门阐述XSS的著作，作者是邱永华，全书共274页8章。
该书充分讲解了跨站脚本相关知识，并且贯穿了很多案例分析，读者可以参考在实际环境中进行安全测试，适合网安相关从业者、Web安全技术相关的教师和感兴趣的人员阅读。

十、SQL注入攻击与防御

该书共440页11章，致力于深入讨论SQL注入的问题，第2版融入了一些最新的研究成果。

该书条理比较清晰，SQL注入各方面的知识讲得也很全面，包含SQL注入的基本原理和如何保护新兴技术免遭SQL注入攻击，攻与防两角度都涉及到了，很多人看完都觉得很不错，可以参考学习。

网安行业的丛书很多，其中不乏一些优秀书籍，大多数都很有学习价值。

网络安全学习路线 （2024最新整理）

 如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言扣1或者关注我我后台会主动发给你！ 

第一阶段：安全基础

网络安全行业与法规

Linux操作系统

计算机网络

HTML PHP Mysql Python基础到实战掌握

  第二阶段：信息收集

IP信息收集

域名信息收集

服务器信息收集

Web网站信息收集

Google hacking

Fofa网络安全测绘

 第三阶段：Web安全 

SQL注入漏洞

XSS

CSRF漏洞

文件上传漏洞

文件包含漏洞

SSRF漏洞

XXE漏洞

远程代码执行漏洞

密码暴力破解与防御

中间件解析漏洞

反序列化漏洞

 第四阶段：渗透工具 

MSF

Cobalt strike

Burp suite

Nessus   Appscea   AWVS

Goby   XRay

Sqlmap

Nmap

Kali

 第五阶段：实战挖洞 

漏洞挖掘技巧

Src

Cnvd

众测项目

热门CVE漏洞复现

靶场实战

学习资料的推荐

学习框架已经整理完毕，现在就差资料资源了，我这里整理了所有知识点对应的资料资源文档，大家不想一个一个去找的话，可以参考一下这些资料！

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明：

此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。