渗透测试入门教程（非常详细），从零基础入门到精通，看完这一篇就够了

什么是渗透测试

渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估，与黑客攻击不一样的是，渗透测试的目的是尽可能多地发现安全漏洞，而真实黑客攻击只要发现一处入侵点即可以进入目标系统。

一名优秀的渗透测试工程师也可以认为是一个厉害的黑客，也可以被称呼为白帽子。

一定要注意的是，在进行渗透测试前，需要获得目标客户的授权，如果未获得授权，千万不要对目标系统进行渗透测试，后果请查看《网络安全法》。同时要有良好的职业操守，不能干一些违法的事情。

为什么要学渗透测试

学渗透测试的好处不外乎以下几点：

• 心理满足感。很酷，就像小时候看黑客的电影一样，自己也成为了他们。

• 有一份可观的收入。可以去各大招聘网站上看下这个岗位的薪资。还可以做兼职，在业余时间参加漏洞众测，可以获得比较丰厚的收入。

• 没那么卷。在软件开发、金融行业卷上天的时代，网络安全行业的竞争可以说相当小，因为这方面的人才实在太少了。

3. 学习渗透测试的前置技能
   学习渗透测试其实最重要的是有兴趣，要有一颗好奇的心，一个对知识渴望的心，以及足够的毅力，这样可以支撑我们在这条道路上不断学习。
   当然，学渗透测试还是有点门槛的，如果是计算机专业的人，可以轻松上手，在一两个月内入门。如果是其它专业的，或者是电脑小白，那么还是比较有难度的，但是也不用担心，我身边有很多大牛都是零基础入行的，所以兴趣还是最重要的。

下面说一些渗透测试需要的基本前置知识：

• HTTP协议基础知识。HTTP协议属于计算机网络的知识，因为渗透测试基本是对网站的请求数据进行修改，查找漏洞，所以了解HTTP协议请求的格式是必不可以的。
• cmd / shell 操作。这里说的 cmd 操作是指会使用 Windows 系统的 cmd 命令行窗口执行一些常见的命令，按 win + R 键，输入 cmd 回车，可以打开cmd 窗口。还有就是要会使用 linux 执行一些常见的 shell 命令。
• Linux 操作系统使用。由于很多渗透测试工具只能运行在 Linux 操作系统中，所以我们要会使用 Linux 系统，可以通过 VMWare 虚拟机软件安装 Ubuntu linux 虚拟机来练习使用，也可以直接安装 Kali Linux 来练习。

前面说的是一些基本知识，下面是一些可选知识，没有这些知识也可以做渗透测试，只是局限性会比较大。

• python 编程语言。作为一个脚本小子，会 python 语言可以帮助我们开发一些工具减轻平时的工作量，用 python 来做一些重复性的工作，如自动化信息收集，最重要的是可以写一些漏洞利用工具。

• Java/PHP 编程语言。渗透测试大部分时间都是对网站进行操作，这些网站大多数是使用 Java 或 PHP 语言开发的，有些是使用一些开源的系统进行二次开发的，我们可以对这些开源的系统进行代码审计，直接从代码中发现漏洞。

开始入门学习路线

1)深入学习一种数据库语言，建议从MySQL数据库或者SQL Server数据库、简单易学且学会了。其他数据库都差不多会了。

2)开始学习网络安全漏洞知识、SQL注入、XSS跨站脚本漏洞、CSRF、解析漏洞、上传漏洞、命令执行、弱口令、万能密码、文件包含漏洞、本地溢出、远程溢出漏洞等等

3)工具使用的学习、御剑、明小子、啊D、穿山甲（Pangolin）、Sqlmap、burpsuite抓包工具等等

4、Google hacker 语法学习

5、简单的漏洞利用学习、SQL注入、XSS、上传、解析漏洞等

6、漏洞挖掘学习

7、想成为大牛的话、以上都是皮毛中的皮毛，但前提是以上的皮毛都是最基础的。

8、Linux系统命令学习、kali Linux 里面的工具学习、Metesploit学习

9、没事多逛逛安全论坛、看看技术大牛的文章、漏洞分析文章等

10、深入学习一门语言、Java或者Python等等，建议学习从Python开始学习、简单易学，容易上手。11.如果你很懒的话，不想去找这些资料、那来找我，我分享给你！

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等…

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。

当然你也可以看下面这个视频教程仅展示部分截图：

学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！

想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！

再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享