最近看到很多問題，都是小白想要轉行網絡安全行業(yè)咨詢學習路線和學習資料的，作為一個培訓機構，學習路線和免費學習資料肯定是很多的。機構里面的不是頂級的黑闊大佬就是正在學習的同學，也用不上這些內容，每天都在某云盤里吃灰，為了發(fā)揮它最大的價值，免費送給想要學習網絡安全的小白們！畢竟為國護網隊伍的壯大是我們一致的目標！

學習路線是什么和具體要學什么東西，各位看官請繼續(xù)

我們把網絡安全學習總體分為六個階段，零基礎的小白學到第三四個階段就能夠逐漸上手一些簡單地工作，當然，還是把六個階段學完才是最好的。

階段一：基礎部分

Windows部分

基礎命令、PowerShell的使用和簡單腳本編寫

組件：注冊表、組策略管理器、任務管理器、事件查看器

另外，可以先學習一下怎么在Windows上搭建虛擬機，學會安裝系統(tǒng)，為接下來學習Linux做準備

Linux部分

主要學習如何使用，學習文本編輯、文件、網絡、權限、磁盤、用戶等相關的命令，要建立一個Linux的基本認知。

這個階段的誤區(qū)就是小白很容易一上來就學Kali，連基本的概念都沒懂，就去學習使用工具，屬于典型的本末倒置。

計算機網絡部分

從局域網出發(fā)，了解計算機通信的基本網絡——以太網

局域網如何通信？

集線器、交換機之間的區(qū)別？

MAC地址、IP地址、子網、子網掩碼的作用？

隨后就要了解廣域網、互聯網，通過七層和四層模型快速建立起計算機網絡的基礎概念，各層協(xié)議的作用，分別有哪些協(xié)議，這些協(xié)議在當今的互聯網中具體是怎么應用的。

Web基礎部分

學習網絡安全，就離不開web。Web安全是網絡滲透中非常重要的一個組成部分。

掌握HTML+CSS+JS的開發(fā)使用

這一部分需要自己動手的會多一些，比如熟悉掌握Javascript、了解Ajax、學習JQuery

數據庫基礎部分

主要學習一些理論知識，重點掌握庫、表、索引概念，學習SQL編寫，學會增刪改查數據

階段二：進一步學習基礎

Web進階

學習Apache和Linux的基本知識

動態(tài)網頁基本原理

CGI/Fast-CGI過渡到ASP/PHP/ASPX/JSP等動態(tài)網頁技術，了解它們的發(fā)展歷史，演變過程和基礎的工作原理。

Web開發(fā)中的基礎知識：表單的操作、Session/Cookie、JWT、LocalStorage等等，了解這些基本的術語都是什么意思，做什么用，解決了什么。

PHP編程

選擇PHP是因為它更放方便我們研究安全問題。

需要學習：語法基礎，基本的后端請求處理，數據庫訪問，然后再接觸一下常用的ThinkPHP框架

計算機網絡進階

HTTP/HTTPS以及抓包分析

inux上的tcpdump必須掌握，包括常見的參數配置

學習Wireshark分析數據包，用Fiddler抓取分析加密的HTTPS流量。

加解密技術

包括base64編碼、對稱加密、非對稱加密、哈希技術等等。

階段三：中級技術

Web安全入門

Web安全領域內幾大典型的攻擊手法：SQL注入、XSS、CSRF、各種注入、SSRF、文件上傳漏洞等等，每一個都需要詳細學習，一邊學習理論，一邊動手實踐。

這里需要自己在虛擬機中搭建一些包含漏洞的網站，如果在互聯網上的網站來攻擊是會被請去喝茶的。

網絡掃描與注入

學習如何尋找攻擊點，獲取目標信息

信息包括：目標運行了什么操作系統(tǒng)，開放了哪些端口，運行了哪些服務，后端服務是什么類型，版本信息是什么等等，有哪些漏洞可以利用，只有獲取到了這些信息，才能有針對性的制定攻擊手段，拿下目標。

需要學習常用的掃描工具以及它們的工作原理。

信息搜集與社會工程學

whois信息用來查詢域名信息，shodan、zoomeye、fofa等網絡空間搜索引擎檢索IP、域名、URL等背后的信息，Google Hacking利用搜索引擎來檢索網站內部信息，這些東西都是在網絡信息搜集中經常用到的技能。

暴力破解

學習爆破工具hydra、超級弱口令、mimikatz

階段四：安全防御和檢測

WAF技術

需要學習web應用防火墻。掌握WAF工作原理，找到弱點繞過檢測，或者加強安全檢測和防御能力

需要學習當下主流的WAF軟件所采用的架構比如openresty、modsecurity，以及主要的幾種檢測算法：基于特征的、基于行為的、基于機器學習的等等。

網絡協(xié)議攻擊 & 入侵檢測

掌握TCP劫持、DNS劫持、DDoS攻擊、DNS隧道、ARP欺騙、ARP泛洪等等傳功經典攻擊手段的原理

日志技術

系統(tǒng)登錄日志（Windows、Linux）、Web服務器日志、數據庫日志等

Python編程

學習編程開發(fā)，編寫爬蟲、數據處理、網絡掃描工具、漏洞POC等等

瀏覽器安全

需要重點掌握IE、Chrome兩款最主流的瀏覽器特性，瀏覽器的沙盒機制是什么，同源策略和跨域技術等等。

階段五：高級技術

第三方組件漏洞

學習目前互聯網服務中實際使用的一些工程組件，比如Java技術棧系列Spring全家桶、SSM、Redis、MySQL、Nginx、Tomcat、Docker等等。

內網滲透

學習在滲透過程中如何轉移，在攻下一個點之后，控制更多的節(jié)點。這個部分理論少，實戰(zhàn)多，需要搭建靶場環(huán)境模擬學習

我們學院也有免費靶場，聯系授予權限。

操作系統(tǒng)安全技術 & 提權技術 &?虛擬化技術

階段六：成熟階段

CobalStrike & MetaSploit

通過這兩個神奇可以對前面學習的信息掃描、漏洞攻擊、內網滲透、木馬植入、端口反彈等等各種技術進行綜合運用，融會貫通。

其他安全技術拓展

到了網絡滲透的后期階段，想成為一個安全高手，絕不只是固步自封在自己擅長的領域，需要多學習網絡安全的其他領域，拓展自己的知識面。

比如二進制漏洞攻擊、逆向工程、木馬技術、內核安全、移動安全、側信道攻擊等等，當然在學習的時候，不用像專業(yè)方向的同學那么深入，但需要涉獵了解，豐富自己的知識面，構建全方位的網路安全知識技能棧。

以上是我們學院對網絡安全學習的一些分析和學習路線的研究，希望對自學的你有一定的幫助和啟發(fā)。

小白零基礎學習網絡安全還是挺難的，我們學院收集整理了很多學習資料，也有學習網絡安全需要的靶場，同時也有一套很完善的學習計劃。歡迎有興趣的朋友前來學習交流！

最后

從時代發(fā)展的角度看，網絡安全的知識是學不完的，而且以后要學的會更多，同學們要擺正心態(tài)，既然選擇入門網絡安全，就不能僅僅只是入門程度而已，能力越強機會才越多。

因為入門學習階段知識點比較雜，所以我講得比較籠統(tǒng)，大家如果有不懂的地方可以找我咨詢，保證知無不言言無不盡，需要相關資料也可以找我要，網盤里一大堆資料都在吃灰呢。

?需要的小伙伴關注自動發(fā)送哦