零基础如何学习Web 安全，如何让普通人快速入门网络安全？、

前言

网络安全现在是朝阳行业，缺口是很大。不过网络安全行业就是需要技术很多的人达不到企业要求才导致人才缺口大

初级的现在有很多的运维人员转网络安全，初级也会慢慢的卷起来，但是岗位多不用怕，以后各大厂也都会要网络安全人员，后续法律也会改革，网络安全只会越来越好，毕竟是国家牵头的，网络安全问题导致很多大企业都泄露过信息，还有被勒索的，层出不穷。

这个行业优势就是工资高，缺点就需要一直学，卷得要死，不是跟别人卷，而是跟自己卷，一会后面细说
这个行业目前从事最多几个岗位，分别是安全运维，安全服务，安全研究

运维先不说，岗位性质比较单一

安全服务岗

安全服务岗分为安全工程师，安全服务工程师，渗透测试工程师，等保测评等

其中安全工程师大多和设备打交道，类似于网络工程师，过去调试设备，根据需求调试好，然后撤退，这种岗位大多会招一些持有网络工程师证书的，如HCIE，HCIP等。

安全服务工程师，简称安服，就是提供安全服务，按照客户需求调试设备，让客户过等级保护，然后就是做一些简单的漏洞测试（渗透测试），以及做一些简单的加固等等，有些时候会给客户做一些安全培训。
渗透测试工程师，类似黑客，做一些渗透测试，让客户知道自己有哪些问题。然后就是新业务上线前也会做一下渗透测试，检查一下有没有漏洞啥的。

等保测评的就和商家过消防一样，网络安全也有等级，没通过就是不合规的。

安全研究

安全研究分为漏洞研究，规则提取。

平时会对一些软件，建站系统等做一些漏洞挖掘，审计一下代码，看看有没有漏洞啥的

有时候行业内公布一个比较新的漏洞，就需要有人立马去复现它，研究漏洞的原理，然后提取这个漏洞规则，也称作特征，然后告诉客户或者研发，这个漏洞要如何防御，防火墙要怎么检测等。

剩下的工作就比较细了，比如二进制安全，逆向，木马的免杀等等

当然，可能还有些没补充到位的请见谅。

以上就是安全行业的一些岗位了。我目前就是做的安全研究，工资确实高
领导说搞安全，你要比开发更懂开发。。。。。

然后我每天早上2小时解决完一天的事情，写好日报，然后就是打开B站，开始充电。。。。。

感觉安全没有尽头，太多东西要学了，什么都要学

我觉得吧，我们公司不景气的时候，第一个被砍的，大概就是我们部门吧，不敢说太多，怕被社工，被大佬们社工，无异于鞭尸。。。。。所以我不敢公布薪资，不过薪资确实很高，和开发差不多，技术相同的话，会比开发更高一些

感觉大家对网络安全行业还挺感兴趣的，那就介绍一下学习方向吧！

首先，只要从事网络安全行业，和漏洞打交道，是跑不掉的，那么这里就要涉及到一个问题。

你需要了解漏洞并且能复现它对吧？毕竟你要把它再复现一次才能确定它的危害性啊，那么，这个时候，就有两个点

1是需要了解漏洞原理
2是需要进行漏洞复现

好，先说1，漏洞有个种各样的，有网页的，有软件的，像什么工控芯片漏洞啥的就别了吧，我自己都缕不清了，其中涉及的有php写的，有java写的，还有逻辑漏洞，有数据库的，以及网络传输的，加解密的等等。

好，这个时候来看看你要学啥，php，java，读代码，数据库，网络，加解密，这还没说什么稀奇古怪的堆栈溢出啥的，总之，要想人前显贵，必然，脑壳遭罪。说到这里，后面的也没必要说了，后边就是漏洞利用了。

因为学完这些就够了，基础牢固了，再看看B站上安全的视频，学完就自己去尝试着挖挖漏洞，或者你学完联系下我吧，帮我看看代码，我教你挖洞，咱们py一下，哈哈哈哈

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉[网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！](https://mp.weixin.qq.com/s/BWb9OzaB-
gVGVpkm161PMw)

二、学习路线

上面说完了三个大的技术方向后，下面来聊聊该怎么上路呢？下面说说我的看法。
首先别想分方向，先打好基础！

第一步：计算机基础

这第一步，其实跟网络安全关系都不太大，而是进入IT领域的任何一个人都要掌握的基础能力。下面五大课程，是大学老师当年教给我们的，不管你是什么技术方向最好都好好学的技术，如今看来，仍然不过时：

• 计算机网络
• 计算机组成原理
• 操作系统
• 算法与数据结构
• 数据

这每一门课程其实都内有乾坤，基本都不能做到一次学习就能掌握，而是伴随每个人的职业生涯，不同的技术阶段都会有不一样的认识和感受。
具体学起来建议参考敏捷开发，不断迭代：有一个粗略的认识**->有了进一步的认识->彻底掌握->温故而知新。**不用纠缠于把一门课程全部学完学懂才进入下一门课程。

第二步：编程能力

有了上面的一些基本功后，这个时候就需要动手，来写点代码，锤炼一下编程的功底。
下面三项，是安全行业的从业者都最好能掌握的语言：

• Shell脚本 ：掌握常用的Linux命令，能编写简单的Shell脚本，处理一些简单的事务。
• C语言（C++可选） ：C语言没有复杂的特性，是现代编程语言的祖师爷，适合编写底层软件，还能帮助你理解内存、算法、操作系统等计算机知识，建议学一下。
• Python ：C语言帮助你理解底层，Python则助你编写网络、爬虫、数据处理、图像处理等功能性的软件。是程序员，尤其是黑客们非常钟爱的编程语言，不得不学。

第三步：安全初体验

有了前面两步的打底，是时候接触一些网络安全的技术了，刚刚开始这个阶段，仍然不要把自己圈起来只学某一个方向的技术。这个阶段，我的建议是：但当涉猎，见往事耳。
网络协议攻击、Web服务攻击、浏览器安全、漏洞攻击、逆向破解、工具开发都去接触一下，知道这是做什么的，在这个过程中去发现自己的兴趣，让自己对网络安全各种领域的技术都有一个初步的认识。

第四步：分方向

在第三步中，慢慢发现自己的兴趣点，是喜欢做各种工具的开发，还是喜欢攻破网站，还是痴迷于主机电脑的攻击···
这个时候就可以思考自己后面的方向，然后精力开始聚焦在这个方向上，通过上面思维导图中各自方向的技术去持续深耕，成为某一个领域的大拿。

三、学习方法

上面介绍了技术分类和学习路线，这里来谈一下学习方法

• 看书学习，这是最最基础的
• 实际动手，开发路线需要多写代码，阅读优秀开源代码，二进制路线多分析样本，编写EXP等等，渗透测试多拿网站练手（合法方式）等
• 打CTF，多参与一些网络安全比赛，接近实战的环境下锻炼动手能力
• 混圈子，多混一些安全大牛出没的社群、社区、论坛，掌握行业信息，了解最新技术变化趋势

网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

![img](https://img-
blog.csdnimg.cn/img_convert/186cbd94fc26dbbb84458ae82588f76d.png)

第二阶段：Web渗透（初级网安工程师）

![img](https://img-
blog.csdnimg.cn/img_convert/9484d84ef2e666763fff3f4f53f5d2b9.png)

第三阶段：进阶部分（中级网络安全工程师）

![img](https://img-
blog.csdnimg.cn/img_convert/0886bc05490ff7e0e882464df0bd1ff6.png)

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓 ，###
如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

👉网安（嘿客）全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

![img](https://img-

blog.csdnimg.cn/img_convert/d1c617b78ee48eda7601e5b803e69276.png)

👉网安（嘿客红蓝对抗）所有方向的学习路线****👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

![img](https://img-

blog.csdnimg.cn/img_convert/de55dfd737dae0cf88e416d0454b17a8.png)

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

👉嘿客必备开发工具 👈

工欲善其事必先利其器。学习嘿 客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（嘿

客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料 【保证100%免费】

![在这里插入图片描述](https://img-

blog.csdnimg.cn/img_convert/16c400294b6fda8f01400f24f1f12b0c.png)

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！