一般来说,学这玩意儿首先是自学,兴趣是原动力,当然如果你奔着找工作去的话待会儿会有各大培训机构的人来这里打广告,如果你邀请了他们的话。
如果真的想学,你先点开owasp top10 然后对着top10去百度,看别人的实战经验和本地靶机测试,有条件的话自己动手实际操作一下,基本上你对网络攻防就会有一个基础的概念。
然后再针对自己感兴趣的去深挖,对代码感兴趣就学习白盒代码审计,对实际操作感兴趣就学习黑盒测试。学着学着你就会发现自己不懂得还有很多,然后你就会继续去学,正儿八经研究个两三年,你就会有自己独到的一套东西。