网络安全如何从小白到成为大佬？

一、前言：

1、零基础学习任何技术都是一个道理，那就是理论+实践。

举个例子，你零基础想要学打篮球，你看了很多的教学视频。这些视频教了你怎么运球、怎么投球、怎么突破、怎么防守等等，但是你只看这些教学视频就能学会打篮球吗？

并不能！想要学会打篮球，还是需要在球场实践。

所以，初学者在学习前首先记住：学习网络安全最重要的就是多练习实战。如果你每天的学习时间是4个小时，那你至少要拿出2个小时的时间用来练习。

很多初学者，看了一遍教程就以为自己会了，实际到做项目的时候，却发现自己无从下手，根本原因就是就是实际操作太少了，练的不够。只有多练，你才能够理解运用。

2、零基础自学选择一份好的学习路线很重要！

网上很多的视频教程为了追求速度，很多都是直接从工具开始上手，忽略了基础的重要性。事实是在学习网络安全前，要先学好基础

 图太大有点糊！！需要学习路线pdf版本的可以，关注博主自动获取！！！

二、基础阶段

1、计算机基础知识

中华人民共和国网络安全法 （包含18个知识点）
Linux操作系统 （包含16个知识点）
计算机网络 （包含12个知识点）
SHELL （包含14个知识点）
HTML/CSS （包含44个知识点）
JavaScript （包含41个知识点）
PHP入门 （包含12个知识点）
MySQL数据库 （包含30个知识点）
Python （包含18个知识点）

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。

前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

扫描二维码关注公众号，回复： 16430415 查看本文章

2、渗透阶段

SQL注入的渗透与防御（包含36个知识点）
XSS相关渗透与防御（包含12个知识点）
上传验证渗透与防御（包含16个知识点）
文件包含渗透与防御（包含12个知识点）
CSRF渗透与防御（包含7个知识点）
SSRF渗透与防御（包含6个知识点）
XXE渗透与防御（包含5个知识点）
远程代码执行渗透与防御（包含7个知识点）

掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了

3、安全管理（提升）

渗透报告编写（包含21个知识点）
等级保护2.0（包含50个知识点）
应急响应（包含5个知识点）
代码审计（包含8个知识点）
风险评估（包含11个知识点）
安全巡检（包含12个知识点）
数据安全（包含25个知识点）

主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。

这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。
如果你只学习参加工程师方面的岗位，这一阶段可学可不学。

4、提升阶段（提升）

密码学（包含34个知识点）
JavaSE入门（包含92个知识点）
C语言（包含140个知识点）
C++语言（包含181个知识点）
Windows逆向（包含46个知识点）
CTF夺旗赛（包含36个知识点）
Android逆向（包含40个知识点）
主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。

主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。

所以初学者找一份好的视频教程是非常重要的。连一份好的视频教程都没有，想要学好网络安全是非常困难的。跟着一些低质量的视频教程学习，学完找不到工作，只能是白白耽误功夫。

如果你找不到一份好的教程，我给大家整理了一份，这份教程配套的学习教程，（可分享）

按照这份教程的学习路线去学习，把这些知识点掌握到漏洞挖掘层面，找一份10-15的工作没什么问题。链接没办法放上来，如果大家有需要的话：需要学习资料教程的可以，点赞收藏留言告诉博主，懒得等回复的可以关注会自动回复发送！！！

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

三、书单推荐

计算机操作系统：

【1】编码：隐藏在计算机软硬件背后的语言
【2】深入理解操作系统

【3】深入理解windows操作系统

【4】Linux内核与实现

编程开发类：

【1】 windows程序设计

【2】windwos核心变成

【3】Linux程序设计

【4】unix环境高级变成

【5】IOS变成

【6】第一行代码Android

【7】C程序语言设计

【8】C primer plus

【9】C和指针

【10】C专家编程

【11】C陷阱与缺陷

【12】汇编语言（王爽）

【13】java核心技术

【14】java编程思想

【15】Python核心编程

【16】Linuxshell脚本攻略

【17】算法导论

【18】编译原理

【19】编译与反编译技术实战

【20】代码整洁之道

【21】代码大全

【22】TCP/IP详解

【23】Rootkit ： 系统灰色地带的潜伏者

【24】黑客攻防技术宝典

【25】加密与解密

【26】C++ 反汇编与逆向分析技术揭秘

【27】web安全测试

【28】白帽子讲web安全

【29】精通脚本黑客

【30】web 前端黑客技术揭秘

【31】程序员的应用

【32】英语写作手册：风格的要素

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。