2024最新零基础小白如何学Web渗透？

任何一个渗透测试工程师都是从小白一路磨炼出来的，网络安全涉及的知识点十分广，诸如：

系统安全
web安全
移动安全
无线安全等很多方向

建议0基础的小白先从web安全入手，这是个相对来说比较好入门的领域。这对于初学小白来说相对比较友好，可以尽可能减少劝退率。

Web安全基础要如何开始呢？

一、系统的操作

例如

• window系统
• linux系统
• kali系统等

二、数据库

主要针对web漏洞中的SQL
例如
MySQL数据库的基本操作

三、进行web安全渗透

web漏洞的原理一定要了解，web常见的漏洞有：

• SQL注入
• xss漏洞
• ssrf
• csrf
• 弱口令
• 文件上传
• 任意文件下载
• 逻辑漏洞等

还需了解：

• owasp top 10漏洞的原理、利用手法、判别方法、了解防火墙绕过方法。
• CDN技术
• DNS技术
• MVC框架
• 负载均衡技术

要了解主流服务器软件的特性漏洞

• inux
• 目录爆破
• URL编码
• 常见加密解密技术
• 后台爆破
• 子域名爆破
• ssl等等

四、各种的搜索引擎的使用技巧：

Google、shodan、FOFA、zoomeye等搜索引擎的使用技巧来进行资产的收集，在做前期的渗透信息收集的时候，是非常重要的。

五、HTML5、css3、PHP

在进行学习web渗透之前呢，需要简单了解一下语言HTML5、css3、PHP ，这些语言对于了解web安全漏洞有很大的帮助的。

六、要掌握基本的几种黑客工具的使用

例如

• AWVS
• nmap
• appscan
• xray
• burpsuite
• Metasploit
• sqlmap
• 浏览器代理
• 各种语言的小马大马
• 蚁剑等工具

七、对于一些网站的基础框架要有一定的了解

了解常见的网站框架

• WP
• DZ
• TP
• 帝国
• 织梦
• ecshop
• structs等

八、Linux渗透进阶知识：

Linux下手动查杀木马过程

使用rootkit隐藏踪迹的审计方法，主要有

• 模拟木马程序病原体并让木马程序自动运行的代码审计
• 木马父进程实时监控木马的原理及防御方法
• 创建一个让root用户都删除不了的木马程序的原理及防御方法
• 深入讲解如何不让木马程序和外网数据主动通信
• 使用rootkit把木马程序的父进程和木马文件隐藏的审计方法
• 使用rkhunter Rootkit猎手来检查rootkit

Linux下的手工提权原理

劫持账号和密码审计及防御方法-Tripwire检查文件。

九、无线安全和一些免杀shell技巧的技术

以上web渗透相关知识点，简单介绍了应该学习的知识框架。当某一天，能将这些框架里的知识点都填补完整，那将会有一个脱胎换骨的改变。愿各位刚入门的小白们，早日突破自我，进阶技术大佬。

如果你是准备学习网络安全或者正在学习，下面这些你应该能用得上：

①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

😝有需要的小伙伴，可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

小白成长路线图

许多入门者转行网络安全，或者是有一定基础想进一步深化学习，却发现不知从何下手。接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。

1.成长路线图

共可以分为：

一、基础阶段

二、渗透阶段

三、安全管理

四、提升阶段

同时每个成长路线对应的板块都有配套的视频提供：

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

SRC技术文档汇总

还有大家最喜欢的黑客技术、

绿盟护网行动

网络安全源码合集+工具包

网络安全面试题

最后就是大家最关心的网络安全面试题板块

所有资料共87.9G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方CSDN官方合作二维码免费领取哦~