小白漂流记（如何自学网络安全？）

一、前言（关于我）

我算是“入行”不久的一个新人安全工作者，为什么是引号呢，因为我是个“半个野路子”出身。早在13年的时候，我在初中时期就已经在90sec、wooyun等社区一直学习、报告漏洞。后来由于升学的压力，我逐渐淡出了安全圈子，也没有继续学习技术。

也因为这个原因，高考选择专业时，对计算机专业情有独钟，因为分数线的原因最后只能选了个通信工程。

大四那年我被骗到了电子厂，无法忍受流水线的工作，愤而撩了挑子。前途一片渺茫的时候，我连夜爬起自学起了网络安全，开启了我的网络安全开发之路。至今已毕业多年，一直在这条热爱的道路上坚持着，快乐、知足、感恩。

二、什么是网络安全

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。

无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如 Web 安全技术，既有 Web 渗透，也有 Web 防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。
 

三、如何规划网络安全学习路线

如果你是一个安全行业的新人，我建议你先从网络安全或者Web安全/渗透测试这两个方向学起，一是市场需求量高，二则是发展相对成熟入门较为容易。

值得一提的是，学习网络安全，是先学网络后学安全；学Web安全，也是先学Web再学安全。

安全不是独立存在的，而是建立在其他技术基础之上的上层应用技术。脱离了这个基础，就很容易变成纸上谈兵，变成“知其然，不知其所以然”，在安全的职业道路上也很难走远。

如果你是原本从事网工运维，那么可以选择网络安全方向入门；如果你原本从事程序开发，推荐选择Web安全/渗透测试方向入门。

当然学到一定程度、或者有了一定工作经验，不同方向的技术耦合会越来越高，各个方向都需要会一点。
 

四、网络安全的知识多而杂，怎么科学合理自学？

第一部分：安全基础
1.1.网络安全行业与法规
1.2.Linux操作系统
1.3.计算机网络基础
1.4.HTLM基础
1.5.JavaScript基础
1.6.PHP 入门
1.7.MYSQL基础
1.8.Python编程

第二部分：Web安全
2.1.信息收集
2.2.SQL 注入漏洞
2.3.CSRF 漏洞
2.4.XSS 漏洞
2.5.文件上传漏洞
2.6.文件包含漏洞
2.7.SSRF 漏洞
2.8.XXE 漏洞
2.9.远程代码执行漏洞
2.10.密码暴力猜解与防御
2.11.JWT 渗透与防御
2.12.逻辑漏洞
2.13.Redis 未授权访问漏洞
2.14.反序列化漏洞渗透与防御
2.15.AWVS 漏洞扫描
2.16.Appscan 漏洞扫描
2.17.Nessus 漏洞扫描
2.18.Burp Sui te 从入门到实战

第三部分：渗透实战
3.1.CVE 漏洞复现
3.2.vulnhub 靶场实战系列
3.3.挖漏洞项目实战
3.4.实战漏洞挖掘经验分享
3.5.2023HW 实战专题
3.6.网络安全面试就业指导课

第四部分： 企业安全体系建设
4.1.等级保护
4.2.应急响应
4.3.代码审计
4.4.风险评估
4.5.安全巡检
4.6.数据安全

第五部分：后渗透
5.1.MSF-Metasploit Fram ework
5.2.CS-CobaltStrike
5.3.内网渗透
5.4.系统权限提升渗透与防御

第六部分:代码审计
6.1.MSF-Metasploit Framework
6.2.CS-CobaltStrike
6.3.内网渗透
6.4.系统权限提升渗透与防御

第七部分：二进制安全
7.1.汇编语言程序设计
7.2.C 语言编程入门
7.3.C++编程入门
7.4.Windows 逆向进阶版
7.5.免杀-反杀毒技术
7.6.安卓逆向
7.7.Web Js逆向

第八部分:协议漏洞
8.1.DOS 与 DDOS 参透与防御
8.2.无线相关渗透与防御
8.3.ARP 渗透与防御

第九部分：编程进阶
9.1.HTML5+CSS3 零基础到实战
9.2.Shell 编程
9.3.Golang 语法精讲

第十部分：CTF
10.1.CTF 夺旗赛
10.2.密码学与网络安全

总的来说只需学习10部分 时间4-6个月即成功学会了网安

我下面也给大家整理了一些网络安全的资料，大家不想一个一个去找的话，可以参考一下这些资料哈

视频教程

SRC&黑客技术文档 

 

黑客工具合集 

五、结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。