网络安全（黑客）2024小白自学必看

  

​
一、怎样规划网络安全

假如你是一个安全行业新人，我发起你先从网络安全大概Web安全/渗透测试这两个方向先学起
   一、是市场需求量高
  二、则是发展相对成熟入门比较容易
   值得一提的是，学网络安全，是先网络后安全；学Web安全，也是先Web再有安全。
安全不是独立存在的，而是创建在其他技术基础之上的上层应用技术。脱离了这个基础，就很容易变成纸上谈兵，变成“知其然，不知其以是然”，在安全的职业道路上也很难走远。
假如你是原本从事网工运维，那么可以选择网络安全方向入门；
假如你原本从事程序开发，保举选择Web安全/渗透测试方向入门。
当然学到一定水平、大概有了一定工作经验，差异方向的技术耦合会越来越高，各个方向都必要会一点。
常见的技能必要学习：

​
二、网络安全的知识多而杂，怎么科学合理安排？

1、基础阶段

   

• 中华人民共和国网络安全法 （包罗18个知识点）
  
•  Linux操作系统 （包罗16个知识点）
  
•  计算机网络 （包罗12个知识点）
  
•  SHELL （包罗14个知识点）
  
•  HTML/CSS （包罗44个知识点）
  
•  JavaScript （包罗41个知识点）
  
•  PHP入门 （包罗12个知识点）
  
•  MySQL数据库 （包罗30个知识点）
  
•  Python （包罗18个知识点）
  

   入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用毛病原理。
    前面的基础知识学完之后，就要举行实操了。
    因为互联网与信息化的遍及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维职员的配置事物，以是必要掌握的内容比较多。
2、渗透阶段

   

•  SQL注入的渗透与防御（包罗36
  
•  XSS相关渗透与防御（包罗12个知识点）
  
•  上传验证渗透与防御（包罗16个知识点）
  
•  文件包罗渗透与防御（包罗12个知识点）
  
•  CSRF渗透与防御（包罗7个知识点）
  
•  SSRF渗透与防御（包罗6个知识点）
  
•  XXE渗透与防御（包罗5个知识点）
  
•  远程代码实验渗透与防御（包罗7个知识点）
  

  掌握常见毛病的原理、使用、防御等知识。Web渗透阶段照旧必要掌握一些须要的工具。
    重要要掌握的工具宁静台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、署理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了； 
3、安全管理（提拔）

   

•  渗透报告编写（包罗21个知识点）
  
•  等级保护2.0（包罗50个知识点）
  
•  应急相应（包罗5个知识点）
  
•  代码审计（包罗8个知识点）
  
•  风险评估（包罗11个知识点）
  
•  安全巡检（包罗12个知识点）
  
•  数据安全（包罗25个知识点）
  

  重要包括渗透报告编写、网络安全等级保护的定级、应急相应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。
这一阶段重要针对已经从事网络安全相关工作必要提拔进阶成管理层的岗位。假如你只学习到场工程师方面的岗位，这一阶段可学可不学。
4、提拔阶段（提拔）

   

•  暗码学（包罗34个知识点）
  
•  JavaSE入门（包罗92个知识点）
  
•  C语言（包罗140个知识点）
  
•  C++语言（包罗181个知识点）
  
•  Windows逆向（包罗46个知识点）
  
•  CTF夺旗赛（包罗36个知识点）
  
•  Android逆向（包罗40个知识点）
  

     重要包括暗码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。
  重要针对已经从事网络安全相关工作必要提拔进阶安全架构必要提拔的知识。
  三、网络安全学习门路

假如你真的想通过自学的方式入门web安全的话，那发起你看看下面这个学习门路图，详细到每个知识点学多久，怎么学，自学时间共计半年左右，亲测有效（文末有惊喜）：
1、Web安全相关概念（2周）

 熟悉根本概念（SQL注入、上传、XSS、CSRF、一句话木马等）。 
 通过关键字（SQL注入、上传、XSS、CSRF、一句话木马等）举行Google/SecWiki；
 阅读《精通脚本黑客》，固然很旧也有错误，但是入门照旧可以的；
 看一些渗透条记/视频，了解渗透实战的整个过程，可以Google（渗透条记、渗透过程、入侵过程 等）;
2、熟悉渗透相关工具（3周）

 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。 
 了解该类工具的用途和使用场景，先用软件名字Google/SecWiki；
 下载无后门版的这些软件举行安装；
 学习并举行使用，详细教材可以在SecWiki上搜索，比方：Brup的教程、sqlmap；
 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱；
3、渗透实战操作（5周）

 掌握渗透的整个阶段并能够独立渗透小型站点。
 网上找渗透视频看并思考其中的思路和原理，关键字（渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms毛病利用等等）；
 本身找站点/搭建测试环境举行测试，记着请潜伏好你本身；
 思考渗透重要分为几个阶段，每个阶段必要做那些工作，比方这个：PTES渗透测试实验尺度；
 研究SQL注入的种类、注入原理、手动注入技巧；
 研究文件上传的原理，如何举行截断、双重后缀诱骗(IIS、PHP)、分析毛病利用（IIS、Nignix、Apache）等，参照：上传攻击框架；
 研究XSS形成的原理和种类，详细学习方法可以Google/SecWiki，可以参考：XSS；
 研究Windows/Linux提权的方法和详细使用，可以参考：提权；
 可以参考: 开源渗透测试脆弱系统；
4、关注安全圈动态（1周）

 关注安全圈的最新毛病、安全事件与技术文章。 
 通过SecWiki欣赏逐日的安全技术文章/事件；
 通过Weibo/twitter关注安全圈的从业职员（碰到大牛的关注大概好友果断关注），每天抽时间刷一下；
 通过feedly/鲜果订阅国表里安全技术博客（不要仅限于国内，平时多注意积累），没有订阅源的可以看一下SecWiki的聚合栏目；
 养成风俗，每天主动提交安全技术文章链接到SecWiki举行积淀；
 多关注下最新毛病列表，保举几个：exploit-db、CVE中文库、Wooyun等，碰到公开的毛病都去实践下。
 关注国内国际上的安全会议的议题大概录像，保举SecWiki-Conference。 
5、熟悉Windows/Kali Linux（3周）

 学习Windows/Kali Linux根本命令、常用工具； 
 熟悉Windows下的常用的cmd命令，比方：ipconfig,nslookup,tracert,net,tasklist,taskkill等；
 熟悉Linux下的常用命令，比方：ifconfig,ls,cp,mv,vi,wget,service,sudo等；
 熟悉Kali Linux系统下的常用工具，可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；
 熟悉metasploit工具，可以参考SecWiki、《Metasploit渗透测试指南》。
6、服务器安全配置（3周）

 学习服务器环境配置，并能通过思考发现配置存在的安全标题。 
 Windows2003/2008环境下的IIS配置，特别注意配置安全和运行权限，可以参考：SecWiki-配置；
 Linux环境下的LAMP的安全配置，重要思量运行权限、跨目次、文件夹权限等，可以参考：SecWiki-配置；
 远程系统加固，限制用户名和口令登陆，通过iptables限制端口；
 配置软件Waf增强系统安全，在服务器配置mod_security等系统，参见SecWiki-ModSecurity；
 通过Nessus软件对配置环境举行安全检测，发现未知安全威胁。
7、脚本编程学习（4周）

 选择脚本语言Perl/Python/PHP/Go/Java中的一种，对常用库举行编程学习。
 搭建开发环境和选择IDE，PHP环境保举Wamp和XAMPP，IDE剧烈保举Sublime，一些Sublime的技巧：SecWiki-Sublime；
 Python编程学习，学习内容包罗：语法、正则、文件、网络、多线程等常用库，保举《Python核心编程》，不要看完；
 用Python编写毛病的exp，然后写一个简单的网络爬虫，可参见SecWiki-爬虫、视频；
 PHP根本语法学习并誊写一个简单的博客系统，参见《PHP与MySQL程序设计（第4版）》、视频；
 熟悉MVC架构，并试着学习一个PHP框架大概Python框架（可选）；
 了解Bootstrap的结构大概CSS，可以参考：SecWiki-Bootstrap;
8、源码审计与毛病分析（3周）

 能独立分析脚本源码程序并发现安全标题。 
 熟悉源码审计的动态和静态方法，并知道如何去分析程序，参见SecWiki-审计；
 从Wooyun上寻找开源程序的毛病举行分析并试着本因素析；
 了解Web毛病的形成原因，然后通过关键字举行查找分析，参见SecWiki-代码审计、高级PHP应用程序毛病审核技术；
 研究Web毛病形成原理和如何从源码层面避免该类毛病，并整理成checklist。
9、安全体系设计与开发（5周）

 能创建本身的安全体系，并能提出一些安全发起大概系统架构。
 开发一些实用的安全小工具并开源，表现个人实力；
 创建本身的安全体系，对公司安全有本身的一些认识和见解；
 提出大概到场大型安全系统的架构大概开发；
 看本身发展咯~
四、补全知识框架（学习内容）

    在整理好本身的知识框架，知道该怎么学习之后，下一步就是往框架里面添补内容了。
    此时我们的选择也可以很多，比如CSDN，比如知乎，再比如B站，都有很多人在分享本身的学习资料，但我以为这里存在的很大一个标题就是不连贯、不完善，大部分免费分享的教程，都是东一块西一块，前言不搭后语，学着学着就蒙了，这是我自学之后的亲身感受。 

​
全阶段学习门路
   点赞收藏关注评论区留言“已关注 求 ”或直接点击扫描二维码领取！都可以分享给大家！ 
  

​     给小同伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省本钱的方式，因为能够帮你节省大量的时间和精力本钱。对峙住，既然已经走到这条路上，固然前途看似困难重重，只要咬牙对峙，最终会收到你想要的效果。
    点赞收藏关注评论区留言“已关注 求 ”或直接点击扫描二维码领取！都可以分享给大家！ 
  五、网络安全前景

人才需求量很大的，市场空缺大，像物联网网应用的遍及、5G的遍及等，都会增加网络安全岗位的需求。
从长久来看，网络安全只会越来越火，智能学科的崛起必定动员新型的网络安全技术发展。
网络安全将来三大发展方向：
   网络安全（安全等保）
  云原生安全
   AI 人工智能在网络安全的运用（ ChatGPT )
  发展空间大：
在企业内部，网络工程师根本处于"双高"地位，即地位高、待遇高。就业面广，一专多能，实践经验实用于各个领域。
增值潜力大：
掌握企业核心网络架构、安全技术，具有不可替换的竞争上风。职业代价随着自身经验的丰富以及项目运作的成熟，升值空间一起看涨。
职业寿命长：
网络工程师工作的重点在于对企业信息化建立和维护，其中包罗技术及管理等方面的工作，工作相对稳定，随着项目经验的不断增长和对行业背景的深入了解，会越老越吃香。
六、特别声明：

   此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地叫醒大家对网络安全的重视，并采取相应的安全措施，从而镌汰由网络安全而带来的经济丧失。
  给大家的福利

零基础入门
对于从来没有接触过网络安全的同砚，我们帮你准备了详细的学习成长门路图。可以说是最科学最系统的学习门路，大家跟着这个大的方向学习准没标题。
1️⃣零基础入门

① 学习门路

对于从来没有接触过网络安全的同砚，我们帮你准备了详细的学习成长门路图。可以说是最科学最系统的学习门路，大家跟着这个大的方向学习准没标题。

② 门路对应学习视频

同时每个成长门路对应的板块都有配套的视频提供：

 因篇幅有限，仅展示部分资料

2️⃣视频配套资料&国表里网安册本、文档

① 文档和册本资料

② 黑客技术

因篇幅有限，仅展示部分资料

4️⃣网络安全面试题

5️⃣汇总

全部资料 ⚡️ ，朋友们假如有必要全套 《网络安全入门+进阶学习资源包》，扫码获取~

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。