入门Web安全（非常详细）零基础入门到精通，收藏这一篇就够了

每一个已经入门一个领域的人都有自己的一套入门方法，在无人指点的情况下，通过自己的摸索加上努力的沉淀逐渐成为一个领域的专家，从入门到成为专家也只是时间的问题，如果有高人指点，那么入门的时间会大大缩短，将那些无意义且浪费时间的部分忽略掉，从而以最短的时间获得最高的收益。

今天分享的一套学习路径，我认为是最好最有效的，可能不适用于所有人，只要有人从中受益，那么今天的分享就是价值的，那么如何更好更有效的入门 web 安全呢？你是如何入门的，欢迎评论区分享。

第一个小目标：编写一个 web 应用系统

首先 web 安全是什么？web 安全的主体是 web 系统，当你对 web 系统都不熟悉的情况下，如何做好 web 安全呢？所以我们入门 web 安全的第一步是熟悉 web 系统，了解 web 系统由哪些组件构成，不同组件的作用是什么，然后是有哪些功能，如何实现的。

如何快速了解 web 系统？我认为编写一个 web 系统是最快速，最有效的方式，在这个过程中，你需要学习：

1、web 系统的中间件服务器，如何搭建，如何配置

2、http 协议原理，看得懂网站交互的数据包

3、前端技术，html、css、javascript 之间的关系，前端常见框架等

4、后端技术，与数据库交互、文件操作等功能的实现原理，以及后端语言有哪些

5、编程技术，选定后端语言后如何实现功能，也就是编程算法

有了这些基础之后，再去理解漏洞的原理和漏洞的测试方法，将会事半功倍，所以初学者入门 web 安全需要制定的第一个小目标就是，自己编写一个简易的 web 系统，功能可以不多，但是要覆盖最常见的功能，至于编程语言的选定，根据自身的兴趣而定，比如 php+mysql+nginx+apache、java+tomcat+spring+mysql、asp.net+iis+mssql 等。

第二个小目标：学习漏洞原理，发现自己网站的漏洞

第一个小目标最关注的是功能的实现，对于安全无需过多考虑，不然整个时间线就拉长，可以选在在特定的时间完成特定的事情，让学习更加聚焦。在此基础上，你开发的网站可能会存在各种各样的漏洞，接下来的目标就是通过漏洞的学习来发现自己网站的所有漏洞。

因为系统是由你开发的，所有的功能和代码都是由你编写，这套系统，没有人会比你更加熟悉，所以在学习漏洞原理的时候，思考自己在处理相关问题时是否存在相应的问题，然后进行测试，发现漏洞之后，试着根据漏洞原理去修复该问题。

在实际的渗透测试过程中，了解系统的功能、架构是第一步，只有这样才能更好的测试和发现网站的隐藏漏洞，这是一个非常好的积累漏洞知识的过程。

你的系统可能不会覆盖所有漏洞，所以可以基于漏洞列表进行一一学习测试，直到将所有漏洞学习测试完毕，然后整理出自己的测试列表，记录测试的种类、方法、步骤，这个在你未来的工作中也可以一一对照进行测试。

第三个小目标：选择 SRC 目标系统，一一测试，直到发现漏洞

前两个目标都是在学习积累，第三个目标就是实战，通过自己的技术积累，让其发挥价值，发现企业的漏洞，并报告，获得第一份赏金漏洞。

在第二个小目标学习的过程中，你已经有了一个测试的检查项列表，也就是针对任意网站，你已经知道如何测试，测试哪些内容，接下来就是要获取目标列表，然后一一测试，所以这个目标的关键是获取目标列表。

渗透测试的第一步是信息收集，要基于企业域名扩展更多的网站，那么如何信息收集就是这个目标的关键，这个目标更贴近实战，去选择一个 SRC 作为目标，然后收集其所有子域名、IP 信息，将该企业的所有边界网站整理出来，然后套用第二个目标的检查项进行一一测试，我相信，你一定可以找到漏洞。

总结

经过这个三个目标的洗礼，你一定可以入门 web 安全，而且会是一个技术能力很强的人，能完整实现三个目标的人，我认为是比较少的，在如今大环境如此不好的前提下，积累自身能力是最重要的事情，让你即使在如此不好的环境下也能找到非常好的工作，如果你想跟更多小伙伴一起学习，欢迎扫描下方二维码加入我们，一起学习提升。

为了帮助大家更好的学习网络安全，我给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂这些资料！

网络安全资源分享

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

【点击免费领取】CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。【点击领取视频教程】

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取技术文档】

（都打包成一块的了，不能一一展开，总共300多集）

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取书籍】

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

👋全套《黑客&网络安全入门&进阶学习资源包》👇👇👇

这份完整版的学习资料已经上传CSDN，也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】