最近看到很多問(wèn)題，都是小白想要轉(zhuǎn)行網(wǎng)絡(luò)安全行業(yè)咨詢(xún)學(xué)習(xí)路線(xiàn)和學(xué)習(xí)資料的，作為一個(gè)培訓(xùn)機(jī)構(gòu)，學(xué)習(xí)路線(xiàn)和免費(fèi)學(xué)習(xí)資料肯定是很多的。機(jī)構(gòu)里面的不是頂級(jí)的黑闊大佬就是正在學(xué)習(xí)的同學(xué)，也用不上這些內(nèi)容，每天都在某云盤(pán)里吃灰，為了發(fā)揮它最大的價(jià)值，免費(fèi)送給想要學(xué)習(xí)網(wǎng)絡(luò)安全的小白們！畢竟為國(guó)護(hù)網(wǎng)隊(duì)伍的壯大是我們一致的目標(biāo)！

學(xué)習(xí)路線(xiàn)是什么和具體要學(xué)什么東西，各位看官請(qǐng)繼續(xù)

我們把網(wǎng)絡(luò)安全學(xué)習(xí)總體分為六個(gè)階段，零基礎(chǔ)的小白學(xué)到第三四個(gè)階段就能夠逐漸上手一些簡(jiǎn)單地工作，當(dāng)然，還是把六個(gè)階段學(xué)完才是最好的。

階段一：基礎(chǔ)部分

Windows部分

基礎(chǔ)命令、PowerShell的使用和簡(jiǎn)單腳本編寫(xiě)

組件：注冊(cè)表、組策略管理器、任務(wù)管理器、事件查看器

另外，可以先學(xué)習(xí)一下怎么在Windows上搭建虛擬機(jī)，學(xué)會(huì)安裝系統(tǒng)，為接下來(lái)學(xué)習(xí)Linux做準(zhǔn)備

Linux部分

主要學(xué)習(xí)如何使用，學(xué)習(xí)文本編輯、文件、網(wǎng)絡(luò)、權(quán)限、磁盤(pán)、用戶(hù)等相關(guān)的命令，要建立一個(gè)Linux的基本認(rèn)知。

這個(gè)階段的誤區(qū)就是小白很容易一上來(lái)就學(xué)Kali，連基本的概念都沒(méi)懂，就去學(xué)習(xí)使用工具，屬于典型的本末倒置。

計(jì)算機(jī)網(wǎng)絡(luò)部分

從局域網(wǎng)出發(fā)，了解計(jì)算機(jī)通信的基本網(wǎng)絡(luò)——以太網(wǎng)

局域網(wǎng)如何通信？

集線(xiàn)器、交換機(jī)之間的區(qū)別？

MAC地址、IP地址、子網(wǎng)、子網(wǎng)掩碼的作用？

隨后就要了解廣域網(wǎng)、互聯(lián)網(wǎng)，通過(guò)七層和四層模型快速建立起計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)概念，各層協(xié)議的作用，分別有哪些協(xié)議，這些協(xié)議在當(dāng)今的互聯(lián)網(wǎng)中具體是怎么應(yīng)用的。

Web基礎(chǔ)部分

學(xué)習(xí)網(wǎng)絡(luò)安全，就離不開(kāi)web。Web安全是網(wǎng)絡(luò)滲透中非常重要的一個(gè)組成部分。

掌握HTML+CSS+JS的開(kāi)發(fā)使用

這一部分需要自己動(dòng)手的會(huì)多一些，比如熟悉掌握J(rèn)avascript、了解Ajax、學(xué)習(xí)JQuery

數(shù)據(jù)庫(kù)基礎(chǔ)部分

主要學(xué)習(xí)一些理論知識(shí)，重點(diǎn)掌握庫(kù)、表、索引概念，學(xué)習(xí)SQL編寫(xiě)，學(xué)會(huì)增刪改查數(shù)據(jù)

階段二：進(jìn)一步學(xué)習(xí)基礎(chǔ)

Web進(jìn)階

學(xué)習(xí)Apache和Linux的基本知識(shí)

動(dòng)態(tài)網(wǎng)頁(yè)基本原理

CGI/Fast-CGI過(guò)渡到ASP/PHP/ASPX/JSP等動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)，了解它們的發(fā)展歷史，演變過(guò)程和基礎(chǔ)的工作原理。

Web開(kāi)發(fā)中的基礎(chǔ)知識(shí)：表單的操作、Session/Cookie、JWT、LocalStorage等等，了解這些基本的術(shù)語(yǔ)都是什么意思，做什么用，解決了什么。

PHP編程

選擇PHP是因?yàn)樗欧奖阄覀冄芯堪踩珕?wèn)題。

需要學(xué)習(xí)：語(yǔ)法基礎(chǔ)，基本的后端請(qǐng)求處理，數(shù)據(jù)庫(kù)訪問(wèn)，然后再接觸一下常用的ThinkPHP框架

計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)階

HTTP/HTTPS以及抓包分析

inux上的tcpdump必須掌握，包括常見(jiàn)的參數(shù)配置

學(xué)習(xí)Wireshark分析數(shù)據(jù)包，用Fiddler抓取分析加密的HTTPS流量。

加解密技術(shù)

包括base64編碼、對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密、哈希技術(shù)等等。

階段三：中級(jí)技術(shù)

Web安全入門(mén)

Web安全領(lǐng)域內(nèi)幾大典型的攻擊手法：SQL注入、XSS、CSRF、各種注入、SSRF、文件上傳漏洞等等，每一個(gè)都需要詳細(xì)學(xué)習(xí)，一邊學(xué)習(xí)理論，一邊動(dòng)手實(shí)踐。

這里需要自己在虛擬機(jī)中搭建一些包含漏洞的網(wǎng)站，如果在互聯(lián)網(wǎng)上的網(wǎng)站來(lái)攻擊是會(huì)被請(qǐng)去喝茶的。

網(wǎng)絡(luò)掃描與注入

學(xué)習(xí)如何尋找攻擊點(diǎn)，獲取目標(biāo)信息

信息包括：目標(biāo)運(yùn)行了什么操作系統(tǒng)，開(kāi)放了哪些端口，運(yùn)行了哪些服務(wù)，后端服務(wù)是什么類(lèi)型，版本信息是什么等等，有哪些漏洞可以利用，只有獲取到了這些信息，才能有針對(duì)性的制定攻擊手段，拿下目標(biāo)。

需要學(xué)習(xí)常用的掃描工具以及它們的工作原理。

信息搜集與社會(huì)工程學(xué)

whois信息用來(lái)查詢(xún)域名信息，shodan、zoomeye、fofa等網(wǎng)絡(luò)空間搜索引擎檢索IP、域名、URL等背后的信息，Google Hacking利用搜索引擎來(lái)檢索網(wǎng)站內(nèi)部信息，這些東西都是在網(wǎng)絡(luò)信息搜集中經(jīng)常用到的技能。

暴力破解

學(xué)習(xí)爆破工具h(yuǎn)ydra、超級(jí)弱口令、mimikatz

階段四：安全防御和檢測(cè)

WAF技術(shù)

需要學(xué)習(xí)web應(yīng)用防火墻。掌握WAF工作原理，找到弱點(diǎn)繞過(guò)檢測(cè)，或者加強(qiáng)安全檢測(cè)和防御能力

需要學(xué)習(xí)當(dāng)下主流的WAF軟件所采用的架構(gòu)比如openresty、modsecurity，以及主要的幾種檢測(cè)算法：基于特征的、基于行為的、基于機(jī)器學(xué)習(xí)的等等。

網(wǎng)絡(luò)協(xié)議攻擊 & 入侵檢測(cè)

掌握TCP劫持、DNS劫持、DDoS攻擊、DNS隧道、ARP欺騙、ARP泛洪等等傳功經(jīng)典攻擊手段的原理

日志技術(shù)

系統(tǒng)登錄日志（Windows、Linux）、Web服務(wù)器日志、數(shù)據(jù)庫(kù)日志等

Python編程

學(xué)習(xí)編程開(kāi)發(fā)，編寫(xiě)爬蟲(chóng)、數(shù)據(jù)處理、網(wǎng)絡(luò)掃描工具、漏洞POC等等

瀏覽器安全

需要重點(diǎn)掌握IE、Chrome兩款最主流的瀏覽器特性，瀏覽器的沙盒機(jī)制是什么，同源策略和跨域技術(shù)等等。

階段五：高級(jí)技術(shù)

第三方組件漏洞

學(xué)習(xí)目前互聯(lián)網(wǎng)服務(wù)中實(shí)際使用的一些工程組件，比如Java技術(shù)棧系列Spring全家桶、SSM、Redis、MySQL、Nginx、Tomcat、Docker等等。

內(nèi)網(wǎng)滲透

學(xué)習(xí)在滲透過(guò)程中如何轉(zhuǎn)移，在攻下一個(gè)點(diǎn)之后，控制更多的節(jié)點(diǎn)。這個(gè)部分理論少，實(shí)戰(zhàn)多，需要搭建靶場(chǎng)環(huán)境模擬學(xué)習(xí)

我們學(xué)院也有免費(fèi)靶場(chǎng)，聯(lián)系授予權(quán)限。

操作系統(tǒng)安全技術(shù) & 提權(quán)技術(shù) &?虛擬化技術(shù)

階段六：成熟階段

CobalStrike & MetaSploit

通過(guò)這兩個(gè)神奇可以對(duì)前面學(xué)習(xí)的信息掃描、漏洞攻擊、內(nèi)網(wǎng)滲透、木馬植入、端口反彈等等各種技術(shù)進(jìn)行綜合運(yùn)用，融會(huì)貫通。

其他安全技術(shù)拓展

到了網(wǎng)絡(luò)滲透的后期階段，想成為一個(gè)安全高手，絕不只是固步自封在自己擅長(zhǎng)的領(lǐng)域，需要多學(xué)習(xí)網(wǎng)絡(luò)安全的其他領(lǐng)域，拓展自己的知識(shí)面。

比如二進(jìn)制漏洞攻擊、逆向工程、木馬技術(shù)、內(nèi)核安全、移動(dòng)安全、側(cè)信道攻擊等等，當(dāng)然在學(xué)習(xí)的時(shí)候，不用像專(zhuān)業(yè)方向的同學(xué)那么深入，但需要涉獵了解，豐富自己的知識(shí)面，構(gòu)建全方位的網(wǎng)路安全知識(shí)技能棧。

以上是我們學(xué)院對(duì)網(wǎng)絡(luò)安全學(xué)習(xí)的一些分析和學(xué)習(xí)路線(xiàn)的研究，希望對(duì)自學(xué)的你有一定的幫助和啟發(fā)。

小白零基礎(chǔ)學(xué)習(xí)網(wǎng)絡(luò)安全還是挺難的，我們學(xué)院收集整理了很多學(xué)習(xí)資料，也有學(xué)習(xí)網(wǎng)絡(luò)安全需要的靶場(chǎng)，同時(shí)也有一套很完善的學(xué)習(xí)計(jì)劃。歡迎有興趣的朋友前來(lái)學(xué)習(xí)交流！

最后

從時(shí)代發(fā)展的角度看，網(wǎng)絡(luò)安全的知識(shí)是學(xué)不完的，而且以后要學(xué)的會(huì)更多，同學(xué)們要擺正心態(tài)，既然選擇入門(mén)網(wǎng)絡(luò)安全，就不能僅僅只是入門(mén)程度而已，能力越強(qiáng)機(jī)會(huì)才越多。

因?yàn)槿腴T(mén)學(xué)習(xí)階段知識(shí)點(diǎn)比較雜，所以我講得比較籠統(tǒng)，大家如果有不懂的地方可以找我咨詢(xún)，保證知無(wú)不言言無(wú)不盡，需要相關(guān)資料也可以找我要，網(wǎng)盤(pán)里一大堆資料都在吃灰呢。

?需要的小伙伴關(guān)注自動(dòng)發(fā)送哦