网络安全自学从哪里入手(网络安全自学从哪里入手好)

很多朋友对于网络安全自学从哪里入手和网络安全自学从哪里入手好不太懂，今天就由小编来为大家分享，希望可以帮助到大家，下面一起来看看吧！

本文目录

1. 网络安全怎么入门
2. 新手小白想学习渗透和网络安全,从哪里入手
3. 网络安全去应该去哪里学习呢。

网络安全怎么入门

修炼成为网络安全技术高手之路，是一种对自我能力与意志力的挑战，也是一种对心中梦想的坚持（在全球互联的2亿多台PC机的网络中，自由驰骋、无拘无束）。菜鸟不可怕，可怕的是：不能进食的菜鸟。学习计划:先装个win2003server中文版的!用2个星期学会基本的操作,然后看看win2003的基本结构,比如说,里面都有什么目录,那些目录里面都是干什么的,然后开始学习,基本的命令,并且熟悉他们.再学习控制面版管理工具--里面的的各种组件,组件都是干什么用的!最主要的是练习实践在安全技术方面:目前主要的是学习入侵和攻击方法,首先要了解方法,知道了这些入侵方法后,就可以针对性的去学习,对每种方法学习,这中间对黑客工具也必然要有了解!这是走向安全的第一步,攻防是相互的,为什么要这样入侵?应该用什么样的方法去阻止这个攻击,这些要理解,安全主要是权限和策略,这个两个非常重要!我们会在以后的课程中对每种方法进行讲解如果你要在电脑方面有所发展,必须对win2003非常精通,这是一个基础,包括你如果找电脑方面的工作,不可能说只会黑客就可以了!必须对系统和网络方面非常熟悉,基本的能熟练操作xp那么win2000你也可以很快熟练操作,主要学习的方面是:IIS的配置--这个必须要熟悉掌握,大部分的web都是用的iis,第二步开始掌握域(活动目录),需要掌握DNS,DHCP,DFS这些服务的配置!此时再掌握TCP/IP协议,在黑基VIP会员区下载里面,有TCP/IP协议下载,先从第一部分开始看,熟悉掌握里面的协议(不过如何编写协议,可以先不看,否则你会脑子大的),掌握里面的协议定义,及其应用,并理解!接下来是学习路由器和交换机的配置,NAT,VPN和VLAN的配置!在黑客方面:你现在对windows都能操作,现在主要看黑客入侵的例子,先学会如何入侵的方法,可以先不要太理解,主要的是使用方面,和各个工具的使用方法,因为好的东西大部分都是英文的,建议学学英语,要么装个翻译软件,对那些常见的dos命令,要熟悉掌握主要的是练习,如果不会什么就学什么,不会用什么软件就装什么软件,本来就不会,如果不装就更不会了!多动手,多思考一下,在学习过程中如果感到太难,就可以先忽略,回过头再看!编程篇：编程：C语言和汇编想真正学好的方法.是精通一种.然后以这个为基础.学别的速度就非常快.例如编程:在c里面有ifforwhile如果你c语言学的精通了.那么你学c++.那么里面也有ifwhilefor这些语句.他们的作用是一样的条件或者循环.如果你在c语言里面学不好这几个.那么你在c++里面也感到这些概念非常模糊.同样java里面和别的asm里面也有条件和循环语句.那么你也可以快速精通.唯一区别的是函数的用法不同.如果你在c里面指针精通.在c++里面你可以几分钟之内理解.否则你可能需要n天时间!我说了这些你就应该明白为什么有些顶级黑客可以在1周之内.精通一门新的语言.一个操作系统.就是因为他们有基础.这些基础是精通一门语言.精通一个操作系统.因为任何东西都是相对的.比如说安全那么他的反面就是黑客.他们用一系列步骤把系统做安全了.如果你按照相反的步骤进行操作.就是黑客了!你要学破解:就需要学asm但是这个起步太难.你可以先学c语言.学精通再学asm.c语言--基础---看别人的源代码--装msdn---自己写程序--多练c语言主要的就是指针!编程方法和思路!其余的就是自己多动手.多练多想系统:因为你现在的学习.和将来的工作.注定你要学好系统.先装个win2003server如何学好你可以仔细看看会员区里面基础的培训计划!按照里面的步骤学习.在会员区首页的教程都是非常实战性的.你可以仔细看看.每个人的学历并不重要.重要的是否有恒心.如果你坚持下去你就不会再看重你是什么学历了.学电脑可能会让你放弃很多.带来了更多的孤独.寂寞.希望你能忍受!破解与攻防篇：这里面涉及的内容与技术很多（软件破解、外挂破解与反编译、网络攻防等等），先可以从反编译学起（当然要有一点汇编的基础），逐步对破解的方法掌握，然后再循序渐进对外挂技术、漏洞利用技术、DDOS技术等做更深入的掌握。-------------------------------------------------------------------By:CnHackerKing

新手小白想学习渗透和网络安全,从哪里入手

基础到入门的学习路线

一、网络安全

网络基础

网络概述

（行业背景+就业方向+课程体系结构）

Vmware

IP地址的概述与应用

DOS命令与批处理

Windows服务安全

用户管理

破解系统用户密码

NTFS权限

文件服务器

DNS服务

DHCP服务

IIS服务

活动目录

域控管理

组策略（一）

组策略（二）

安全策略

PKI与证书服务

windows安全基线

Windowsserver2003安全配置基线

阶段综合项目一

以太网交换与路由技术

回顾windows服务

OSI协议簇

交换机的基本原理与配置

IP包头分析与静态路由

分析ARP攻击与欺骗

虚拟局域网VLAN

VTP

单臂路由与DHCP

子网划分VLSM

高级网络技术

回顾

三层交换

ACL-1

ACL-2

网络地址转换

动态路由协议RIP

ipsecVPN

VPN远程访问

网络安全基线

Cisco基础网络设备安全配置基线

安全设备防护

防火墙原理及部署方式

防火墙高级配置

IDS

WAF

阶段综合项目二

二、服务安全

Linux安全运维

Linux操作系统介绍与安装与目录结构分析

Linux系统的基本操作与软件安装

Linux系统下用户以及权限管理

网络配置与日志服务器建立应急思路

建立php主页解析以及主页的访问控制

Nginx服务都建立以及tomcat负载均衡

iptables包过滤与网络地址转换

实用型脚本案例

阶段综合项目三

三、代码安全

前端代码安全

HTML语言

CSS盒子模型

JS概述与变量

JS数据类型

JS函数

程序的流程控制

条件判断与等值判断结构

循环结构

JS数组

数据库安全

sqlserver

access

oracle

mysql

后台代码安全

PHP基础

PHP语法

PHP流程控制与数组

PHP代码审计中常用函数

PHP操作mysql数据库

PHP代码审计（一）

PHP代码审计（二）

Python安全应用

初识python上篇

初识python下篇

基础进阶与对象和数字

字符串列表和元祖

字典条件循环和标准输入输出

错误异常函数基础

函数的高级应用和模块

面向对象编程与组合及派生

正则表达式和爬虫

socket套接字

四、渗透测试

渗透测试导论

渗透测试方法论

法律法规与道德

Web工作机制

HTTP协议

Cookie与session

同源策略

情报收集

DNS

DNS解析

IP查询

主机测探与端口扫描

网络漏洞扫描

Web漏洞扫描

其他工具

口令破解

口令安全威胁

破解方式

windows口令破解

Linux口令破解

网络服务口令破解

在线密码查询网站

常见的漏洞攻防

SQL注入基础

四大基本手法

其他注入手法

SQLmap的使用

XSS漏洞概述

XSS的分类

XSS的构造

XSS的变形

Shellcode的调用

XSS通关挑战

实战：Session劫持

PHP代码执行

OS命令执行

文件上传漏洞原理概述

WebShell概述

文件上传漏洞的危害

常见的漏洞攻防

PUT方法上传文件

.htaccess攻击

图片木马的制作

upload-labs上传挑战

Web容器解析漏洞

开源编辑器上传漏洞

开源CMS上传漏洞

PHP中的文件包含语句

文件包含示例

漏洞原理及特点

Null字符问题

文件包含漏洞的利用

业务安全概述

业务安全测试流程

业务数据安全

密码找回安全

CSRF

SSRF

提权与后渗透

服务器提权技术

隧道技术

缓冲区溢出原理

MetasploitFramework

前言

urllib2

SQL注入POC到EXP

定制EXP

案例：OracleWeblogicCVE2017-10271RCE

案例：JBossAS6.X反序列化

五、项目实战

漏洞复现

内网靶机实战

内网攻防对抗

安全服务规范

安全众测项目实战

外网渗透测试实战

六、安全素养

网络安全行业导论

网络安全岗位职责分析

网络安全法认知

网络安全认证

职业人素质

网络安全去应该去哪里学习呢。

只要想学习哪里学习都是有效果的。但需要结合自身的一些特点来调整学习方向，这样学习起来会事半功倍，以下推荐3种学习线路，适用于不同的学习人群；

适用人群：有一定的代码基础的小伙伴

（1）基础部分

基础部分需要学习以下内容：

（1.1）计算机网络：

重点学习OSI、TCP/IP模型，网络协议，网络设备工作原理等内容，其他内容快速通读；

【推荐书籍】《网络是怎样连接的_户根勤》一书，简明扼要，浅显易懂，初学者的福音；如果觉得不够专业，可以学习图灵设计丛书的《HTTP权威指南》；

（1.2）Linux系统及命令：

由于目前市面上的Web服务器7成都是运行在Linux系统之上，如果要学习渗透Web系统，最起码还是要对linux系统非常熟悉，常见的操作命令需要学会；

学习建议：学习常见的10%左右的命令适用于90%的工作场景，和office软件一样，掌握最常用的10%的功能，基本日常使用没什么问题，遇到不会的，再去找相关资料；常见的linux命令也就50-60个，很多小白囫囵吞枣什么命令都学，这样其实根本记不住。

【推荐书籍】LinuxBasicsforHackers；

（1.3）Web框架：

熟悉web框架的内容，前端HTML，JS等脚本语言了解即可，后端PHP语言重点学习，切记不要按照开发的思路去学习语言，php最低要求会读懂代码即可，当然会写最好，但不是开发，但不是开发，但不是开发，重要的事情说三遍；

数据库：

需要学习SQL语法，利用常见的数据库MySQL学习对应的数据库语法，也是一样，SQL的一些些高级语法可以了解，如果没有时间完全不学也不影响后续学习，毕竟大家不是做数据库分析师，不需要学太深；

（2）Web安全

（2.1）Web渗透

掌握OWASP排名靠前的10余种常见的Web漏洞的原理、利用、防御等知识点，然后配以一定的靶场练习即可；有的小白可能会问，去哪里找资料，建议可以直接买一本较为权威的书籍，配合一些网上的免费视频系统学习，然后利用开源的靶场辅助练习即可；

【推荐书籍】白帽子讲Web安全（阿里白帽子黑客大神道哥作品）

【推荐靶场】常见的靶场都可以上github平台搜索，推荐以下靶场DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu等，有些是综合靶场，有些是专门针对某款漏洞的靶场；

（2.2）工具学习

Web渗透阶段还是需要掌握一些必要的工具，工具的学习b站上的视频比较多，挑选一些讲解得不错的视频看看，不要一个工具看很多视频，大多数视频是重复的，且很浪费时间；

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

练习差不多了，可以去SRC平台渗透真实的站点，看看是否有突破，如果涉及到需要绕过WAF的，需要针对绕WAF专门去学习，姿势也不是特别多，系统性学习学习，然后多总结经验，更上一层楼；

（2.2）自动化渗透

自动化渗透需要掌握一门语言，且需要熟练运用，可以是任何一门自己已经掌握得很熟悉的语言，都可以，如果没有一门掌握很好的，那我推荐学习python，最主要原因是学起来简单，模块也比较多，写一些脚本和工具非常方便；

虽说不懂自动化渗透不影响入门和就业，但是会影响职业的发展，学习python不需要掌握很多不需要的模块，也不需要开发成千上万行的代码，仅利用它编写一些工具和脚本，少则10几行代码，多则1-200行代码，一般代码量相对开发人员已经少得不能再少了，例如一个精简的域名爬虫代码核心代码就1-20行而已；

几天时间学习一下python的语法，有代码基础的，最快可能一天就可以学习完python的语法，因为语言都是相通的，但是学习语言最快的就是写代码，别无他法；接下来可以开始尝试写一些常见的工具，如爬虫、端口探测、数据包核心内容提取、内网活跃主机扫描等，此类代码网上一搜一大把；然后再写一些POC和EXP脚本，以靶场为练习即可；有的小伙伴可能又要问了，什么是POC和EXP，自己百度去，养成动手的好习惯啦；

（2.3）代码审计

此处内容要求代码能力比较高，因此如果代码能力较弱，可以先跳过此部分的学习，不影响渗透道路上的学习和发展。

但是如果希望在Web渗透上需要走得再远一些，需要精通一门后台开发语言，推荐php，因为后台采用php开发的网站占据最大，当然你还精通python、asp、java等语言，那恭喜你，你已经具备很好的基础了；

代码审计顾名思义，审计别人网站或者系统的源代码，通过审计源代码或者代码环境的方式去审计系统是否存在漏洞（属于白盒测试范畴）

那具体要怎么学习呢？学习的具体内容按照顺序列举如下：

掌握php一些危险函数和安全配置；

熟悉代码审计的流程和方法；

掌握1-2个代码审计工具，如seay等；

掌握常见的功能审计法；（推荐审计一下AuditDemo，让你产生自信）

常见CMS框架审计（难度大）；代码审计有一本国外的书籍《代码审计：企业级Web代码安全架构》，当然有空的时候可以去翻翻，建议还是在b站上找一套系统介绍的课程去学习；github上找到AuditDemo，下载源码，搭建在本地虚拟机，然后利用工具和审计方法，审计AuditDemo中存在的10个漏洞，难度分布符合正态分布，可以挑战一下；

至于CMS框架审计，可以去一些CMS官方网站，下载一些历史存在漏洞的版本去审计，框架的学习利用官方网站的使用手册即可，如ThinkPHP3.2版本是存在一些漏洞，可以尝试读懂代码；但是切记不要一上来就看代码，因为CMS框架的代码量比较大，如果不系统先学习框架，基本属于看不懂状态；学习框架后能够具备写简单的POC，按照代码审计方法结合工具一起审计框架；其实也没没想象中的那么难，如果你是开发人员转行的，恭喜你，你已经具备代码审计的先天性优势。

可能有人会问：“我代码很差，不学习代码审计行不行？”其实代码审计不是学习网络安全的必要条件，能够掌握最好，掌握不了也不影响后续的学习和就业，但你需要选择一个阶段，练习得更专业精通一些，如web渗透或者内网渗透，再或者是自动化渗透；

（3）内网安全

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；

如果想就业面更宽一些，技术竞争更强一些，需要再学习内网渗透相关知识；

内网的知识难度稍微偏大一些，这个和目前市面上的学习资料还有靶场有一定的关系；内网主要学习的内容主要有：内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT等等；

可以购买《内网安全攻防：渗透测试实战指南》，这本书写得还不错，国内为数不多讲内网的书籍，以书籍目录为主线，然后配合工具和靶场去练习即可；

那去哪里可以下载到内网靶场？如果你能力够强，电脑配置高，可以自己利用虚拟机搭建内网环境，一般需要3台以上的虚拟机；你也可以到国外找一些内网靶场使用，有一些需要收费的靶场还可以；

（4）渗透拓展

渗透拓展部分，和具体工作岗位联系也比较紧密，尽量要求掌握，主要有日志分析、安全加固、应急响应、等保测评等内容；其中重点掌握前三部分，这块的资料网络上也不多，也没有多少成型的书籍资料，可通过行业相关的技术群或者行业分享的资料去学习即可，能学到这一步，基本上已经算入门成功，学习日志分析、安全加固、应急响应三部分的知识也相对较为容易。

适用人群：代码能力很弱，或者根本没有什么代码能力，其他基础也相对较差的小伙伴

基础需要打好，再学习Web渗透比如linux系统、计算机网络、一点点的Web框架、数据库还是需要提前掌握；

像php语言、自动化渗透和代码审计部分内容，可以放在最后，当学习完毕前面知识后，也相当入门后，再来学习语言，相对会容易一些；

【优先推荐】方法2，对于小白来说，代码基础通常较弱，很多很多小白会倒在前期学习语言上，所以推荐方法2的学习，先学习web渗透和工具，也比较有意思，容易保持一个高涨的学习动力和热情，具体学习内容我就不说了，请小伙伴们参照方法1即可。

适用人群：需要体系化学习、增强实战能力的小伙伴

具体根据自身条件来讲，如果你自学能力较差，那建议选择课程学习，网上各大平台等都有很多各式各样的课程，是可以更快帮助你迅速入门的，然后再根据自己自身所欠缺的方面，不断去完善和学习，最后达到你所要的优秀水平。

学习书籍推荐如下：

【基础阶段】

LinuxBasicsforHackers(中文翻译稿)

Wireshark网络分析(完整扫描版)

精通正则表达式（中文第3版）

图解HTTP彩色版

[密码学介绍].杨新.中文第二版

网络是怎样连接的_户根勤

[PHP与MySQL程序设计(第4版)].W.Jason.Gilmore

【web渗透阶段】

web安全攻防渗透测试实战指南

白帽子讲Web安全

Web安全深度

【自动化渗透阶段】

Python编程快速上手-让繁琐工作自动化

【代码审计阶段】

代码审计：企业级Web代码安全架构

【内网渗透阶段】

内网安全攻防：渗透测试实战指南

社会工程防范钓鱼欺诈

文章分享结束，网络安全自学从哪里入手和网络安全自学从哪里入手好的答案你都知道了吗？欢迎再次光临本站哦！