网络安全学习路线全图谱:从零基础到高阶专家
一、基础筑基阶段(1-3个月)
1.1 计算机通识基础
操作系统核心
-
Windows:域控、注册表、进程服务、日志分析(Event Viewer)
-
Linux:命令终端操作(Bash)、文件权限管理(chmod/chown)、进程控制(ps/kill)
网络通信原理
-
TCP/IP协议栈(三次握手/四次挥手)
-
HTTP/HTTPS协议报文结构(Header/Body)
-
DNS解析过程、CDN工作原理
-
必备工具:
Wireshark抓包分析、VMware虚拟机集群搭建
1.2 编程语言入门
Python(首选)
# 示例:简单端口扫描器
import socket
target = "127.0.0.1"
for port in range(80,100):
s = socket.socket()
if s.connect_ex((target,port)) == 0:
print(f"Port {port} open")
辅助语言
- JavaScript(前端漏洞分析)
- SQL(数据库注入攻击防御)
二、安全核心技术进阶(3-6个月)
2.1 Web安全攻防
OWASP TOP 10实战
| 漏洞类型 | 实验平台 | 关键工具 |
|---|---|---|
| SQL注入 | DVWA | sqlmap、Burp Suite |
| XSS跨站脚本 | XSS Game | BeEF框架 |
| CSRF跨站请求伪造 | PortSwigger Labs | Burp Repeater模块 |
- 渗透测试方法论:
信息收集 → 漏洞扫描(Nessus/OpenVAS) → 手动验证 → 报告编写
2.2 系统与网络攻防
Windows提权实践
-
利用MS17-010永恒之蓝漏洞
-
PowerSploit提权模块使用
Linux安全加固
-
SUID权限排查:
find / -perm -4000 2>/dev/null -
内核漏洞利用(DirtyCow复现)
-
网络层攻击防护:
ARP欺骗防御、WAF规则编写(ModSecurity)
三、专业领域深化(6-12个月)
3.1 选择主攻方向
渗透测试方向
-
学习路径:内网渗透 → 域控突破(Kerberos协议攻击) → APT攻击模拟
-
认证建议:OSCP(实操考试)、PTE
安全研发方向
-
开发技能栈:Python Flask/Django安全开发、C/C++漏洞挖掘
-
项目实战:WAF系统开发、IDS规则引擎开发
逆向工程方向
- 工具链:IDA Pro静态分析 + x64dbg动态调试
- 实战目标:勒索软件样本分析、移动端APP脱壳
3.2 企业级安全体系
防御体系建设
-
SIEM系统:Splunk/ELK日志分析
-
EDR终端检测:KQL查询编写
合规与风险管理
- 等保2.0条款解读
- ISO 27001实施框架
四、实战能力跃迁(持续进行)
4.1 靶场与竞赛
推荐训练平台
- 基础:Hack The Box(在线渗透平台)
- 进阶:Vulnhub漏洞虚拟机(如Kioptrix系列)
- 竞赛:CTFtime赛事(Real World场景题)
4.2 开源项目参与
贡献路径
- 漏洞挖掘:为Apache/Redis等开源组件提交CVE
- 工具开发:GitHub提交安全工具Pull Request(如修改Sqlmap模块)
- 文档翻译:OWASP文档中文版维护
4.3 企业实战项目
SRC平台挖洞
-
专注冷门资产:微信小程序、IoT设备管理后台
-
逻辑漏洞挖掘:越权操作/平行权限漏洞(占比超60%的高危漏洞)
红蓝对抗实战
- ATT&CK战术框架应用
- 免杀技术实践:Shellcode加密 + 资源伪装
五、认证与职业发展
5.1 权威认证路径
| 职业方向 | 入门认证 | 进阶认证 | 专家认证 |
|---|---|---|---|
| 渗透测试 | CEH | OSCP(必考) | OSEP/OSEE |
| 安全运维 | Security+ | CISSP | CCSP |
| 安全管理 | ISO27001审核员 | CISM | CRISC |
5.2 持续学习资源
知识更新渠道
- 博客:360安全客、安全客、FreeBuf
- 论文:IEEE S&P、USENIX Security会议论文
- 漏洞预警:CVE Details、NVD国家漏洞库
关键原则:
- 70%实践+30%理论:每周至少20小时动手实验
- 建立知识树体系:用脑图工具串联技术点(如XMind链接漏洞原理/工具/案例)
- 加入安全社区:参与本地Meetup(如KCon、XCTF)
结语:安全人的自我迭代
网络安全的学习本质是一场攻防博弈的无限循环:掌握新漏洞原理 → 理解防御方案 → 突破防御的思维升级。无论选择渗透测试、安全开发还是逆向分析,持续对抗环境演变的适应力才是终极能力。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
扫一扫
7570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
