这可能是最适合网络安全入门选手的学习路线了~

最近经常在后台收到粉丝提问：“网络安全究竟应该怎么学？”

要知道，网络安全的范围是非常大的，不同细分岗位所要学习的知识也不同，新手如果没有系统的路线，效率将会大大降低。

因此，这篇类似学习路线的文章，希望可以帮助刚入门的萌新们少走弯路。（文末附学习资料及工具领取）

首先我们来看看企业对网络安全工程师的岗位招聘需求是什么？

1.职位描述

①对公司各类系统进行安全加固；

②对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）

③对公司安全事件进行响应、清理后门、根据日志分析攻击途径

④安全技术研究，包括安全防范技术、黑客技术等；

⑤跟踪最新漏洞信息，进行业务产品的安全检查。

2.岗位要求

①熟悉Web渗透测试方法和攻防技术，包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等OWSP TOP10 安全漏洞与防御；

②熟悉Linux、Windows不同平台的渗透测试，对网络安全、系统安全、应用安全有深入理解和自己的认识；

③熟悉国内外安全工具，包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等；

④对Web安全整体有深刻理解，有一定漏洞分析和挖掘能力；

根据岗位技能需求，再来制定我们的学习路径，如下：

01.HTTP基础

只有搞明白Web是什么，我们才能对Web安全进行深入研究，所以你必须了解HTTP，了解了HTTP，你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”，特殊数据在数据流的每个层处理，如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。关于HTTP，你必须要弄明白以下知识：

HTTP/HTTPS特点、工作流程

HTTP协议（请求篇、响应篇）

了解HTML、Javascript

Get/Post区别

Cookie/Session是什么？

02.了解如下专业术语的意思

Webshell 菜刀 0day SQL注入 上传漏洞 XSS CSRF 一句话木马

03.专业黑客工具使用

熟悉如何渗透测试安全工具，掌握这些工具能大大提高你在工作的中的效率。

Vmware安装

Windows/kali虚拟机安装

Phpstudy、LAMP环境搭建漏洞靶场

Java、Python环境安装

子域名工具 Sublist3r

Sqlmap Burpsuite Nmap W3af Nessus Appscan AWVS

04.XSS

要研究 XSS 首先了解同源策略 ，Javascript 也要好好学习一下 ，以及HTML实体 HTML实体的10 或16进制还有Javascript 的8进制和16进制编码，最终掌握以下几种类型的XSS：

反射型 XSS：可用于钓鱼、引流、配合其他漏洞，如 CSRF 等。

存储型 XSS：攻击范围广，流量传播大，可配合其他漏洞。

DOM 型 XSS：配合，长度大小不受限制 。

05.SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识：

SQL 注入漏洞原理 SQL 注入漏洞对于数据安全的影响 SQL 注入漏洞的方法 常见数据库的 SQL 查询语法 MSSQL,MYSQL,ORACLE 数据库的注入方法 SQL 注入漏洞的类型：数字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、宽字节注入

SQL 注入漏洞修复和防范方法 一些 SQL 注入漏洞检测工具的使用方法

06.文件上传漏洞

了解下开源编辑器上传都有哪些漏洞，如何绕过系统检测上传一句话木马、WAF如何查杀Webshell，你必须要掌握的一些技能点：

1.客户端检测绕过（JS 检测）

2.服务器检测绕过（目录路径检测）

3.黑名单检测

4.危险解析绕过攻击

5…htaccess 文件

6.解析调用/漏洞绕过

7.白名单检测

8.解析调用/漏洞绕过

9.服务端检测绕过-文件内容检测

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07.文件包含漏洞

去学习下 include() include_once() require() require_once() fopen() readfile() 这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别，以及利用文件包含时的一些技巧如：截断 /伪url/超长字符截断等 。

08.命令执行漏洞

PHP代码中常见的代码执行函数有： eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。 了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。

09.CSRF 跨站点请求

为什么会造成CSRF，GET型与POST型CSRF 的区别, 如何防御使用 Token防止CSRF？

010.逻辑漏洞

了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞：

信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.

011.XEE（XML外部实体注入）

当允许XML引入外部实体时，通过构造恶意内容，可以导致文件读取、命令执行、内网探测等危害。

012. SSRF

了解SSRF的原理,以及SSRF的危害。 SSRF能做什么？当我们在进行Web渗透的时候是无法访问目标的内部网络的，那么这个时候就用到了SSRF漏洞，利用外网存在SSRF的Web站点可以获取如下信息。 1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息; 2.攻击运行在内网或本地的应用程序（比如溢出）; 3.对内网Web应用进行指纹识别，通过访问默认文件实现; 4.攻击内外网的Web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）; 5.利用file协议读取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了。

如果看了上面你还不知道具体如何学习？现在机会来了！
扫描下方卡片可获取最新的网络安全资料合集（包括200本电子书、标准题库、CTF赛前资料、常用工具、知识脑图等）助力大家提升进阶！

小白成长路线图

作为一个小白想转行网络安全岗位，或者是有一定基础想进一步深化学习，却发现不知从何下手。

其实如何选择网络安全学习方向，如何进行实战与理论的结合并不难，找准正确方式很重要。

接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。

1.成长路线图

共可以分为：

一、基础阶段

二、渗透阶段

三、安全管理

四、提升阶段

同时每个成长路线对应的板块都有配套的视频提供：

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

SRC技术文档汇总

还有大家最喜欢的黑客技术、

绿盟护网行动

网络安全源码合集+工具包

网络安全面试题

最后就是大家最关心的网络安全面试题板块

所有资料共87.9G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方CSDN官方合作二维码免费领取哦~