前言

首先我谈下对黑客&网络安全的认知，其实最重要的是兴趣热爱，不同于网络安全工程师，他们大都是培训机构培训出来的，具备的基本都是防御和白帽子技能，他们绝大多数的人看的是工资，他们是为了就业而学习，为了走捷径才去参加培训。

而我进大厂主要是靠自学内推进来是，当时我才20岁，基于对脚本小子的热爱，我每次工作做完了，就天天抱着本书看，甚至不会计较和主动研究各个技术和包揽一些任务（和大多数躺平族不一样），可能还是觉得自己不足，我又把tcp/ip协议大全，路由交换°这些基础啃了一遍，c++都学了一阵子。基于自己的学校出身，我身上也不可避免存在一些自卑心理，老觉得自己是野路子出来，想游击队变正规军系统的梳理。我近个月还在看php（对就是那个最好的编程语言）、后续我也打算在看http权威指南。工作之余还把几个厂家的设备也主动请缨的摸熟了，可能我身上的这些“匠心”的精神。本文会提供几个建议给想要入门网络安全的朋友，如果觉得对你有帮助的话别忘了点赞哦~

 一、什么是网络安全

网络安全是保护网络、设备和数据免遭未经授权的访问或犯罪使用的艺术，以及确保信息的机密性、完整性和可用性的实践。现在似乎一切都依赖于计算机和互联网——通信（例如，电子邮件、智能手机、平板电脑）、娱乐（例如，交互式视频游戏、社交媒体、应用程序）、交通（例如，导航系统）、购物（例如，在线购物、信用卡）、药品（例如，医疗设备、医疗记录）等等。日常生活有多少依赖于技术？有多少个人信息存储在自己的计算机、智能手机、平板电脑或其他人的系统上？

 二、怎样入门网络安全

1、安全基础（Linux+MySQL+Python）

网络安全行业大多数使用的都是一些命令符，但是对于编程开发这一块也是有一些要求的，一些简单的代码还是需要了解的。比如，你想渗透某个网站，那么首先就要知道如何去开发一个网站，如果连最基本的SQL语句都不会写的话，那么怎么去做SQL注入呢？

所以对各种网络通信协议，对密码学，对前后端、数据库、服务器、shell脚本等内容没有一定的了解，又怎么可能成为一个优秀的网络安全工程师呢？

想要控制一个人，首先你要了解他，才能知道他的弱点，最后才能施展你的手段。但是无论是哪个过程，都需要花费很长时间和精力去学习和钻研。

以上内容都是学习网络安全必备的基础，这部分内容没有太大的难度，也没有任何的逻辑性上的难度，只需要多练习多看就完全足够了。基础部分的内容是孰能生巧的事情。
 

2、安全入门（黑客工具+漏洞挖掘）

有了前面的计算机网络和编程基础，这一阶段就是正式入门网络安全了。

网络安全领域几大典型的攻击手法：SQL注入、XSS、CSRF、SSRF、文件上传漏洞等等，每一个都需要详细的学习，都需要一边学习理论原理，一边动手实践。

这里千万不能拿互联网上的真实网络用来攻击学习！即使这个网站是BC网站，是诈骗网站，都不能在没有授权的情况下进行渗透测试。这是违法的行为！

在学习的过程中，你自己也可以在虚拟机中搭建一些包含漏洞的网站，拿自己建的网站练手。

除了这些常见漏洞的攻击方法，还需要对常用的渗透工具有一些简单的了解，这也是大部分同学非常感兴趣的一个板块，因为学会这些工具的使用，就可以升级成一个脚本小子。

比如：AWVS、sqlmap、Burp、nessus、、nmap、Appscan等相关工具的使用。

了解该类工具的用途和使用场景，先用软件名字Google/百度，然后下载无后门版的这些软件进行安装；

如果你已经学到这一步了，那么就需要仔细思考一下了。学习网络安全是想成为一个脚本小子随便玩玩？还是想要进入这个行业，成为一名专业的网络安全工程师？

如果想要成为一名专业的人才，今后进入网络安全行业，那么可以继续。如果不是的话，那么就不需要往下看了，因为下面的学习内容至少需要3个月时间，并且难度会增大，如果没有足够的毅力、明确的目标，那么就很难坚持下去。

3、安全进阶（内网渗透+DDoS攻防+社会工程学）

前面的基础部分学习了一些web安全的攻击手法，但是光学习基础的攻击低不够的。当我们有流量攻击目标之后，如何寻找攻击点，获取目标的信息至关重要。

这些信息包括：目标运行了什么操作系统、开放了哪些端口、运行了哪些服务、后端服务是什么类型，版本信息是什么等等。有哪些漏洞可以利用，只有获取了这些信息，才能有针对性的制定攻击手段。

真正意义上的网络渗透，其实不只是使用一些现成的工具，去挖一些上古时代的漏洞，而是拥有很强大的自学和分析、解决问题的能力，然后再用自己的“奇思妙想”去攻破某一个站点。比如说利用自己编写的脚本和工具，或者自己新发现的攻击注入方式。

上面的学习方法可以参考，并且上面不同方向的技术不是严格意义独立的，很多时候都是相辅相成，需要结合起来，融会贯通的。

每个人的认知是有限的，建议可以多参考一些总结和经验，横向对比。兼听则明，偏听则暗。

三、网络安全学习路线

如果你真的想通过自学的方式入门网络安全的话，那建议你看看下面这个学习路线图，具体到每个知识点学多久，怎么学，自学时间共计半年左右，亲测有效（文末有惊喜）：

​​

 阶段一：基础入门

渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础

阶段二：技术进阶（到了这一步你才算入门）

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

最后

       在整理好自己的知识框架，知道该怎么学习之后，下一步就是往框架里面填充内容了。
此时我们的选择也可以很多，比如CSDN，比如知乎，再比如B站，都有很多人在分享自己的学习资料，但我觉得这里存在的很大一个问题就是不连贯、不完善，大部分免费分享的教程，都是东一块西一块，前言不搭后语，学着学着就蒙了，这是我自学之后的亲身感受。

       如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，点赞收藏评论区留言“已关注 求 ”！都可以免费分享给大家！等不及的小伙伴也可以直接厚台踢我！或者关注我之后后台会自动发送给大家！关注后大家注意看后台消息就行！

    给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

网络安全学习资料和教程，关注自动发送

 黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

 推荐书籍入门

《白帽子讲Web安全》 2012

《Web安全深度剖析》2015

《Web安全攻防 渗透测试实战指南》2018进阶

《WEB之困-现代WEB应用安全指南》 2013

《内网安全攻防渗透测试安全指南》 2020

《Metasploit渗透测试魔鬼训练营》2013

《SQL注入攻击与防御》2010

《黑客攻防技术宝典-Web实战篇（第2版）》

《日志管理与分析权威指南》

《kali Linux高级渗透测试》

《黑客社会工程学攻防演练》

《XSS跨站脚本攻击剖析与防御》

《黑客攻防实战之入门到精通》

常见的网络安全及论坛

    看雪论坛
    安全课
    安全牛
    安全内参
    绿盟
    先知社区
    XCTF联盟