我經(jīng)常會(huì)看到這一類的問題：

• 學(xué)習(xí)XXX知識(shí)沒效果；

• 學(xué)習(xí)XXX技能沒方向；

• 學(xué)習(xí)XXX沒辦法入門；

給大家一個(gè)忠告，如果你完全沒有基礎(chǔ)的話，前期最好不要盲目去找資料學(xué)習(xí)，因?yàn)榇蟛糠秩税奄Y料收集好之后，基本上都是放在收藏夾吃灰，同時(shí)資料收集的多了，學(xué)起來就會(huì)迷茫，也會(huì)讓自己很有壓力。

磨刀不誤砍柴工，如果你是準(zhǔn)備自學(xué)的話，要分步驟去進(jìn)行：

第一步：搭建自學(xué)知識(shí)框架，具體怎么搭建學(xué)習(xí)框架，在后面我會(huì)講；

第二步：按照學(xué)習(xí)框架給自己定制階段性的學(xué)習(xí)計(jì)劃和目標(biāo)，最好是按周自我反饋和調(diào)整；

第三步：針對(duì)每周的學(xué)習(xí)計(jì)劃尋找合適的自學(xué)資源，注意，只找當(dāng)前需要的，不要貪多

第四步：找?guī)讉€(gè)懂得人，和他們處理好關(guān)系，后面學(xué)習(xí)過程中遇到問題還能有人給你解答；

這些都要一步一步來，不要想著一口氣吃成一個(gè)大胖子。

搭建學(xué)習(xí)框架也是有訣竅的，比如我常用的三種方式：

1. 和牛人成為朋友，身邊的朋友或公司的同事都可以，但要注意，記得請人家吃飯聯(lián)絡(luò)好感情，不然到關(guān)鍵時(shí)刻，很少有人會(huì)去幫你；

2. 從各個(gè)博客網(wǎng)站上面搜索想了解的知識(shí)點(diǎn)路線圖，然后找高贊的博文，基本上不會(huì)差，但要注意辨別真?zhèn)?#xff1b;

3. 多找?guī)讉€(gè)培訓(xùn)機(jī)構(gòu)，看他們整理的課程大綱是什么樣的，涉及哪些知識(shí)點(diǎn)，然后做歸類匯總，具體的我就不說了，免得讓大家認(rèn)為我在給培訓(xùn)機(jī)構(gòu)打廣告；

學(xué)習(xí)網(wǎng)絡(luò)安全方向會(huì)遇到哪些問題？

1.打基礎(chǔ)的時(shí)間長

學(xué)基礎(chǔ)花費(fèi)了很長的時(shí)間，光學(xué)語言都有好幾門，有的人會(huì)止步于學(xué)習(xí)linux系統(tǒng)及命令的路上，更多的人會(huì)停在學(xué)習(xí)語言上面；

2.知識(shí)點(diǎn)掌握的不夠清楚

對(duì)于網(wǎng)絡(luò)安全基礎(chǔ)內(nèi)容，很多人不清楚到底需要學(xué)到什么程度，導(dǎo)致在基礎(chǔ)上花費(fèi)了太多的時(shí)間；很多同學(xué)，買了HTML，PHP，數(shù)據(jù)庫，計(jì)算機(jī)網(wǎng)絡(luò)

等書籍，每本還很厚，很多寫得也很深，卻發(fā)現(xiàn)越學(xué)越?jīng)]自信，別人學(xué)個(gè)PHP或者數(shù)據(jù)庫就可以找到工作，而網(wǎng)絡(luò)安全要學(xué)這么多，越來越懷疑自己到底是不是選錯(cuò)了方向；

3.知識(shí)點(diǎn)不清楚重點(diǎn)

很多同學(xué)花費(fèi)了很大精力學(xué)完了基礎(chǔ)內(nèi)容，但是發(fā)現(xiàn)很多知識(shí)和后續(xù)網(wǎng)絡(luò)安全關(guān)聯(lián)不大，沒有分清重點(diǎn)，浪費(fèi)了很多的時(shí)間；

4.知識(shí)點(diǎn)學(xué)習(xí)不夠系統(tǒng)

看到很多同學(xué)在b站找了好多學(xué)習(xí)視頻，也到別的平臺(tái)購買了一些小課，百度云盤上也有1-2T的學(xué)習(xí)資料和視頻內(nèi)容，但每學(xué)完一類都需要花費(fèi)不少的時(shí)間，且內(nèi)容很多有重復(fù)性，學(xué)完SQL注入后，后面又看到另一家講這個(gè)SQL注入，還不錯(cuò)，又會(huì)去學(xué)習(xí)一遍，發(fā)現(xiàn)學(xué)完所有web漏洞原理后，自己還是不太確定自己是否把Web漏洞這塊的知識(shí)點(diǎn)學(xué)全了沒有，導(dǎo)致自己到底學(xué)沒學(xué)完都不知道；

5.自己解決問題的能力不足

對(duì)于初學(xué)者來說，很多人都會(huì)自己搭建一些靶場，但是由于配置環(huán)境的原因，耽誤的時(shí)間會(huì)很多，尤其對(duì)于初學(xué)者碰到連續(xù)3個(gè)問題無法解決的時(shí)候，很容易放棄；對(duì)于一些動(dòng)手能力較差的同學(xué)，這塊可能會(huì)直接影響到繼續(xù)學(xué)習(xí)的信心；

6.實(shí)戰(zhàn)水平不足

對(duì)于學(xué)網(wǎng)絡(luò)安全，滲透測試方向的技術(shù)，其實(shí)很大程度上學(xué)習(xí)的就是“黑客”技術(shù)，通過學(xué)習(xí)怎么進(jìn)攻和入侵，才能夠更清楚系統(tǒng)和應(yīng)用怎么去防御；而這塊也恰恰是網(wǎng)絡(luò)安全的核心，如果光有理論，實(shí)戰(zhàn)經(jīng)驗(yàn)少，也是較難去就業(yè)；在平時(shí)學(xué)習(xí)中，除了可以搭建一些開源的靶場用于練習(xí)，最好還是要有真實(shí)漏洞組成的靶場用于學(xué)習(xí)，當(dāng)然也可以去SRC平臺(tái)去滲透測試一些真實(shí)網(wǎng)站（一定要獲得授權(quán)才可以滲透真實(shí)網(wǎng)站），但是難度發(fā)現(xiàn)又比較大，很多初學(xué)者會(huì)喪失信心，懷疑自己的能力；

7.內(nèi)網(wǎng)的學(xué)習(xí)困難比較大

Web滲透這塊的資料在互聯(lián)網(wǎng)各各平臺(tái)到處都是，學(xué)習(xí)起來相對(duì)較為輕松，但是內(nèi)網(wǎng)這塊的資料在互聯(lián)網(wǎng)平臺(tái)上面相對(duì)較少，能夠借鑒的資料不多，另外也需要有相應(yīng)的靶場配合練習(xí)，才能有技術(shù)上的提高和經(jīng)驗(yàn)的積累，學(xué)習(xí)難度會(huì)比較大。

廢話不多說，先上一張圖鎮(zhèn)樓，看看網(wǎng)絡(luò)安全有哪些方向，它們之間有什么關(guān)系和區(qū)別，各自需要學(xué)習(xí)哪些東西。

【一>所有資源獲取，點(diǎn)擊這里<一】
1、很多已經(jīng)買不到的絕版電子書
2、安全大廠內(nèi)部的培訓(xùn)資料
3、全套工具包
4、100份src源碼技術(shù)文檔
5、網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux、web安全、攻防方面的視頻
6、應(yīng)急響應(yīng)筆記 7、 網(wǎng)絡(luò)安全學(xué)習(xí)路線
8、ctf奪旗賽解析
9、WEB安全入門筆記?

我們落到具體的技術(shù)點(diǎn)上來，網(wǎng)絡(luò)安全學(xué)習(xí)路線，整體學(xué)習(xí)時(shí)間大概半年左右，具體視每個(gè)人的情況而定。

如果你把每周要學(xué)的內(nèi)容精細(xì)化到這種程度，你還會(huì)擔(dān)心學(xué)不會(huì)，入不了門嗎，其實(shí)說到底就是學(xué)了兩個(gè)月，但都是東學(xué)一下，西學(xué)一下，什么內(nèi)容都是淺嘗輒止，沒有深入進(jìn)去，所以才會(huì)有學(xué)了2個(gè)月，入不了門這種感受。

1、Web安全相關(guān)概念（2周）

• 熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）；

• 通過關(guān)鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進(jìn)行Google/SecWiki；

• 閱讀《精通腳本黑客》，雖然很舊也有錯(cuò)誤，但是入門還是可以的；

• 看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過程，可以Google（滲透筆記、滲透過程、入侵過程等）；

2、熟悉滲透相關(guān)工具（3周）

• 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關(guān)工具的使用；

• 了解該類工具的用途和使用場景，先用軟件名字Google/SecWiki；

• 下載無后門版的這些軟件進(jìn)行安裝；

• 學(xué)習(xí)并進(jìn)行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；

• 待常用的這幾個(gè)軟件都學(xué)會(huì)了可以安裝音速啟動(dòng)做一個(gè)滲透工具箱；

3、滲透實(shí)戰(zhàn)操作（5周）

掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。 網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫備份、dedecms漏洞利用等等）；

• 自己找站點(diǎn)/搭建測試環(huán)境進(jìn)行測試，記住請隱藏好你自己；

• 思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做那些工作；

• 研究SQL注入的種類、注入原理、手動(dòng)注入技巧；

• 研究文件上傳的原理，如何進(jìn)行截?cái)?、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等；

• 研究XSS形成的原理和種類，具體學(xué)習(xí)方法可以Google/SecWiki；

• 研究Windows/Linux提權(quán)的方法和具體使用；

4、關(guān)注安全圈動(dòng)態(tài)（1周）

• 關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章；

• 通過SecWiki瀏覽每日的安全技術(shù)文章/事件；

• 通過Weibo/twitter關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時(shí)間刷一下；

• 通過feedly/鮮果訂閱國內(nèi)外安全技術(shù)博客（不要僅限于國內(nèi)，平時(shí)多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目；

• 養(yǎng)成習(xí)慣，每天主動(dòng)提交安全技術(shù)文章鏈接到SecWiki進(jìn)行積淀；

• 多關(guān)注下最新漏洞列表，推薦幾個(gè)：exploit-db、CVE中文庫、Wooyun等，遇到公開的漏洞都去實(shí)踐下。

• 關(guān)注國內(nèi)國際上的安全會(huì)議的議題或者錄像，推薦SecWiki-Conference；

5、熟悉Windows/Kali Linux（3周）

• 學(xué)習(xí)Windows/Kali Linux基本命令、常用工具；

• 熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill

• 等；

• 熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

• 熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；

• 熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測試指南》；

6、服務(wù)器安全配置（3周）

• 學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過思考發(fā)現(xiàn)配置存在的安全問題；

• Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運(yùn)行權(quán)限，；

• Linux環(huán)境下的LAMP的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等；

• 遠(yuǎn)程系統(tǒng)加固，限制用戶名和口令登陸，通過iptables限制端口；

• 配置軟件Waf加強(qiáng)系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)；

• 通過Nessus軟件對(duì)配置環(huán)境進(jìn)行安全檢測，發(fā)現(xiàn)未知安全威脅；

7、腳本編程學(xué)習(xí)（4周）

• 選擇腳本語言Perl/Python/PHP/Go/Java中的一種，對(duì)常用庫進(jìn)行編程學(xué)習(xí)；

• 搭建開發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime；

• Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫，推薦《Python核心編程》，不要看完；

• 用Python編寫漏洞的exp，然后寫一個(gè)簡單的網(wǎng)絡(luò)爬蟲；

• PHP基本語法學(xué)習(xí)并書寫一個(gè)簡單的博客系統(tǒng)，參見《PHP與MySQL程序設(shè)計(jì)（第4版）》、視頻；

• 熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架（可選）；

• 了解Bootstrap的布局或者CSS;

8、源碼審計(jì)與漏洞分析（3周）

• 能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問題。

• 熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序；

• 從Wooyun上尋找開源程序的漏洞進(jìn)行分析并試著自己分析；

• 了解Web漏洞的形成原因，然后通過關(guān)鍵字進(jìn)行查找分析；

• 研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

9、安全體系設(shè)計(jì)與開發(fā)（5周）

• 能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。

• 開發(fā)一些實(shí)用的安全小工具并開源，體現(xiàn)個(gè)人實(shí)力；

• 建立自己的安全體系，對(duì)公司安全有自己的一些認(rèn)識(shí)和見解；

• 提出或者加入大型安全系統(tǒng)的架構(gòu)或者開發(fā)；

這個(gè)路線圖已經(jīng)詳細(xì)到每周要學(xué)什么內(nèi)容，學(xué)到什么程度，可以說我整理的這個(gè)網(wǎng)絡(luò)安全路線圖對(duì)新人是非常友好的，除此之外，我還給團(tuán)隊(duì)小伙伴整理了相對(duì)應(yīng)的學(xué)習(xí)資料，需要的小伙伴可以留言。

?