自学网络安全（黑客）技术多长时间能达到就业的水平？

前言

首先我谈下对黑客&网络安全的认知，其实最重要的是兴趣热爱，不同于网络安全工程师，他们大都是培训机构培训出来的，具备的基本都是防御和白帽子

技能，他们绝大多数的人看的是工资，他们是为了就业而学习，为了走捷径才去参加培训。

一开始我自学网络安全的时候，带我的师傅时常会提起某些进去的大佬来警示我，所以我强烈建议在学习之前熟读《网络安全法》，不要进行任何违法活动。学习安全只是为了维护网络安全，而不是犯罪。

 

一、自学网络安全学习的误区和陷阱

1.不要试图先成为一名程序员（以编程为基础学习）开始学习

我一直强调不要以编程为基础再开始学习网络安全，一般来说，学习编程不但学习周期长，而且实际向安全过渡后可用到的关键知识并不多

一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间，容易半途而废。而且学习编程只是工具不是目的，我们的目标不是成为程序员。建议在学习网络安全的过程中，哪里不会补哪里，这样更有目的性且耗时更少

2.不要把深度学习作为入门第一课

很多人都是冲着要把网络安全学好学扎实来的，于是就很容易用力过猛，陷入一个误区：就是把所有的内容都要进行深度学习，但是把深度学习作为网络安全第一课不是个好主意。原因如下：

【1】深度学习的黑箱性更加明显，很容易学的囫囵吞枣

【2】深度学习对自身要求高，不适合自学，很容易走进死胡同

3.不要收集过多的资料

网上有很多关于网络安全的学习资料，动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”，一下子购买十几本书，或者收藏几十个视频

网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料，下面我会推荐一些自认为对小白还不错的学习资源，耐心往下看

二、网络安全学习路线

 

1、安全基础（Linux+MySQL+Python）

网络安全这个行业对于编程开发这一块还是有一定要求的，举个简单的例子，你如果想渗透某个网站，那你首先要知道如何去开发一个网站，你连最基本的sql语句都不会写，那又何谈去做sql注入呢。

所以对各种网络通信协议，对密码学，对前后端，数据库，服务器，shell脚本等内容没有一定的了解，又怎么可能成为一个优秀的hacker呢。

要想控制一个人，首先你要了解他，你才能知道他的弱点，最后才能施展你的手段

但无论哪个过程，都需要花费很长的时间与精力去学习与钻研。

上面这部分是学习网络安全必备的基础，这部分内容没有多大难度，也没有任何的逻辑性难度，只要多练多看，这部分内容就是熟能生巧的事情

2、安全入门（黑客工具+漏洞挖掘）

有了前面的计算机网络和编程基础，这一阶段就可以来正式入门网络安全了。

网络安全领域内几大典型的攻击手法：SQL注入、XSS、CSRF、SSRF、文件上传漏洞等等，每一个都需要详细学习，一边学习理论，一边动手实践。

对了，在这里友情提示一下：

千万注意别拿互联网上的网站来攻击学习！

在学习的过程中，你自己可以在虚拟机中搭建一些包含漏洞的网站，拿自己建的网站练手，具体的实战靶场，我在后面也会给大家进行讲解。

除了这些攻击方法，这个时候我们也需要对常用渗透工具有一些简单的了解，这也是大部分同学非常感兴趣的一个版块，因为学会这些工具的使用，就可以晋升成为一个脚本小子

了。

包含AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。了解该类工具的用途和使用场景，先用软件名字Google/百度，然后下载无后门版的这些软件进行安装；

3、安全进阶（内网渗透+DDos攻防+社会工程学）

前面学习了一些Web安全的攻击手法，但光有这些还不够，当我们有流量攻击目标后，如何寻找攻击点，获取目标的信息至关重要。

这些信息包括：目标运行了什么操作系统，开放了哪些端口，运行了哪些服务，后端服务是什么类型，版本信息是什么等等，有哪些漏洞可以利用，只有获取到了这些信息，才能有针对性的制定攻击手段。除此之外，外网环境和内网环境是不一样的，别到时候从外面渗透，进到里面之后傻眼了，因此收集内部信息的技巧也是重中之重，比如渗透测试架构和windows密码凭证收集等等。

真正意义上的网络渗透，我觉得应该不只是使用一些现成的工具，去挖一些上古时代的漏洞，而是拥有很强大的自学和分析、解决问题能力，再调用十八般武艺去攻破某个站点。里面不乏自己编写写脚本与工具，自己发现新的攻击注入方式。

4、核心能力（安全管理+逆向免杀+代码审计）

到了安全攻防的后期阶段，想成为一个安全高手，绝不只是固步自封，在自己擅长的领域，需要多学习网络安全的其他领域，拓展自己的知识面。

比如等级保护、应急响应、风险评估、逆向免杀、代码审计、二进制漏洞攻击、木马技术、内核安全、移动安全、侧信道攻击等等，当然在学习的时候，不用像专业方向的同学那么深入，但需要涉猎了解，丰富自己的知识面，构建全方位的网路安全知识技能栈。

5、小结

网络安全要学习的内容非常多非常杂，我以前写过一篇关于网络安全技术

知识点的文章，下面评论的人都说内容太多了，根本就学不完之类的话。后来我吸取了教训，对于新手一定要简单粗暴，不能太过于复杂，越是复杂新手看的越迷茫。所以我这次写的内容是精简，初步入行学习这些内容就足够了。

6、大多数人必然会放弃

这件事情，或者说这个职业。首先你得初衷不能是因为赚钱，因为太容易走歪了，黑产

盛行，巨大的利益不断诱惑着通往技术的心，圈内这种沉不下心来浮躁的环境影响了太多的人，当初一起的朋友，现在还有在里面没出来的。

网络安全涉及的方面太广，对于我们来讲，不是因为这是个工作，而是因为浓厚的求知欲，浓厚的兴趣所引导。

而没有浓厚的兴趣引导很容易半途而废，原因大部分在于，这个东西并不是想象中的那么美好，学的东西太多 且枯燥 你要承担短时间内没有回报的结果，这很容易让人放弃。

当然你决心要学的话，我想还是得先学习网络基础，网络交互原理

。最好先把TCP/IP啃一遍。有了基础再学习漏洞原理，然后学一门语言 来拓扑漏洞的存在原理，到后期可以自己写工具。由浅入深，知其然知其所以然。

7、总结

以上就是我对刚入行网络安全的朋友的一些个人的建议，最后有一点需要说明一下：

上面列举到的不同方向的技术不是严格意义独立的，相反，很多时候是相辅相成，需要结合起来，融会贯通。

每个人的认知是有限的，我也不例外。本篇回答只是我的一家之言，建议大家多看一些人的总结和经验，横向

对比，兼听则明，偏听则暗。

如果你想通过自学进入网络安全这一行，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试

等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，大部分我都看过，感觉还不错，如果需要的话可以评论区告诉我。

等等