2025年网络安全（黑客）自学总结，零基础入门到精通，收藏这篇就够了

最新推荐文章于 2025-12-12 22:11:09 发布

原创最新推荐文章于 2025-12-12 22:11:09 发布 · 1.6k 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全

程序员同时被 3 个专栏收录

2068 篇文章

订阅专栏

互联网

1932 篇文章

订阅专栏

网络安全

830 篇文章

订阅专栏

该文章已生成可运行项目，

前言

什么是网络安全？

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。

一、如何成为一名黑客？

很多朋友在学习安全方面都会半路转行，因为不知如何去学，在这里，我将这个整份答案分为黑客（网络安全）入门必备、黑客（网络安全）职业指南、黑客（网络安全）学习导航三大章节，涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。（文末有福利~）

1. 黑客（网络安全）入门必备

关于「黑客」，每个人都有自己的定义和理解。我认为，一名合格的黑客，抛开技术层面，首先应该具备以下这些能力或品质：

正直善良的价值观：遵法守纪、严守底线、拒绝黑灰产
科学合理的方法论：终身成长、知识管理、第一性原理
持续有效的执行力：自我驱动、实践为先、结果导向

2.黑客（网络安全）职业指南

在 2017 年 6 月 1 号之前，即网络安全法出台之前，黑客在公众眼里甚至是个贬义词，在企业里面，安全工程师甚至是可有可无的“消耗型”岗位。

而随着《国家网络空间安全战略》《网络安全法》《等保2.0》等一系列政策/法规/标准的持续落地，网络安全产业从小众产业逐步发展成为国家战略性新兴产业，与人工智能、大数据、云计算等领域并驾齐驱。

政企单位的网络安全建设也从以往的“可选项”逐步变为“必选项”甚至是“强制项”，很多企业在进行 IT 部门及岗位划分时，以往往往只有研发和运维部门，安全人员直接归属到基础运维部；而现在，越来越多企业成立独立的安全部门，拉拢各方安全人才、组建 SRC（安全响应中心），为自己的产品、应用、数据保卫护航。

越来越多高校也陆续开设了网络空间安全 / 信息安全学科，为互联网、金融、电商、运营商、政企等各行各业输送人才。

短短几年间，黑客不仅成为了正规军，还直接跃升为国家战略型资源，成为企业“一将难求”的稀缺资源。

因此，要想体系化的了解黑客的职业发展道路，那我们就必须了解网络安全行业的方方面面，包括：

网络安全行业分类、技能需求
网络安全职位分类、招聘需求
网络安全招聘企业、薪酬标准

网络安全行业分类、技能需求

根据不同的安全规范、应用场景、技术实现等，安全可以有很多分类方法，在这里我们简单分为网络安全、Web安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全等不同领域。下面以个人所在行业和关注点，重点探讨网络 / Web / 云这几个安全方向。

「READING」

① 网络安全

[网络安全] 是安全行业最经典最基本的领域，也是目前国内安全公司发家致富的领域，例如启明星辰、绿盟科技、天融信这几个企业（“老三大” ）。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关（IPsec/SSL）、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。

**通过以上网络安全产品和技术，**我们可以设计并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

[技能需求]：

网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/802.1x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…
主流网络与安全设备部署：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、VPN、AC/AD…
网络安全架构与设计：企业网/电信网/政务网/教育网/数据中心网设计与部署…
信息安全等保标准、金土/金税工程… ……

② Web安全

Web安全领域从狭义的角度来看，就是一门研究[网站安全]的技术，相比[网络安全]领域，普通用户能够更加直观感知。

[技能需求]

Web安全的技能点同样多的数不过来，因为要搞Web方向的安全，意味初学者要对Web开发技术有所了解，例如能通过前后端技术做一个Web网站出来，好比要搞[网络安全]，首先要懂如何搭建一个网络出来。

**通信协议：**TCP、HTTP、HTTPs``**操作系统：**Linux、Windows``**服务架设：**Apache、Nginx、LAMP、LNMP、MVC架构``**数据库：**MySQL、SQL Server、Oracle``**编程语言：**前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

更加狭义的Web安全技术点：

**安全理论：**OWASP TOP 10 、PETS、ISO 27001…``**后端安全：**SQL注入、文件上传、Webshell（木马）、文件包含、命令执行…``**前端安全：**XSS跨站脚本攻击、CSRF跨站请求伪造…``**安全产品：**Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火墙）、IDS/IPS（Web入侵防御）、Web主机防护

由于篇幅有限，各位直接点击领取哦：

③ 终端安全（移动安全/桌面安全）

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全，例如iOS和Android安全，我们经常提到的“越狱”其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - “WannerCry勒索病毒”，或者更加久远的“熊猫烧香”，便是桌面安全的范畴。

④ 云安全

[云安全] 是基于云计算技术来开展的另外一个安全领域，云安全研究的话题包括：软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全…… 目前，基于云计算所展开的安全产品已经非常多了，涵盖原有网络安全、Web安全、移动安全等方向，包括云防火墙、云抗DDOS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

⑤ 工控安全

以震网病毒（stuxnet）攻击伊朗核电厂并使其瘫痪的全球事件，从安全领域活生生撕开一道口并告诉我们，工控病毒才是真正代替核武器战争的代表。相比其他安全方向，工控安全研究的攻防对象是工业基础设施，真正影响人类生活的方方面面，例如核电、电力、水力、城市交通等基础设施。随着万物互联/物联网的进程不断推进，工控安全会成为我们继互联网和移动互联网安全之后研究的重心。

网络安全职位分类、招聘需求

① 安全岗位

**研发系：**安全研发、安全攻防研究、逆向分析
**工程系：**安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师
**销售系：**安全销售工程师、安全售前工程师、技术解决方案工程师

② 适合我们的岗位有哪些？

拼客学院这边毕业学员主要走安全工程系，我们目前主要应聘的岗位是：安全工程师、安全运维、安全服务工程师、渗透测试工程师、Web安全工程师，当然，也有部分学员在做安全研发和安全售前岗位。

例如在安全公司如绿盟科技、深信服、360、天融信等做安全工程师、安全服务、渗透测试等岗位，在甲方单位例如运营商（中国移动、中国电信）、金融类公司（平安科技、招商银行）等更多做安全运维、Web应用审计、Web渗透测试等岗位

③ 常见的安全岗位职责

这里仅列举部分，更多岗位可以到各类招聘网站如[拉勾网]上搜索相关的岗位，也可以了解不同类型公司对安全岗位的要求；也可以到知名安全公司的官网、微信

[安全工程师]（产品与售后方向）

**职位描述：**负责网络安全项目中的产品调试和交付负责网络安全项目中的技术方案编写负责客户的安全应急和售后驻场

职位要求：具备扎实的计算机与网络原理，熟悉各类网络与安全设备（路由、交换、防火墙、VPN、漏洞扫描）对网络数据包具备分析实践能力，熟练使用数据包分析工具；熟悉常见网络通信协议（TCP/IP、交换路由协议、VPN协议等）熟悉防火墙原理，能够熟练配置防火墙策略；熟悉主流网络与安全厂商产品（思科/华为/华三/Juniper…）较好的文档撰写能力、语言表达和与沟通能力。

[安全服务工程师]

**职位描述：**负责安全服务项目中的实施部分，包括：漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等；爆发高危漏洞后时行漏洞的分析应急；对公司安全产品的后端支持；掌握专业文档编写技巧；关注行业态势和热点。

职位要求：掌握一门及以上编程语言；熟悉常见安全攻防技术；有较强学习能力，能快速学习新的技术；熟悉风险评估、应急响应、渗透测试、安全加固等安全服务；具有良好的语言表达能力、文档组织能力。

[安全运维工程师]

**职位描述：**服务器与网络基础设备的安全加固；安全事件排查与分析，配合定期编写安全分析报告，专注业内安全事件；跟踪最新漏洞信息，进行业务产品的安全检查；负责信息安全策略/流程的制定,安全培训/宣传及推广；负责Web漏洞和系统漏洞修复工作推进，跟踪解决情况，问题收集。

职位要求：熟悉主流的Web安全技术，包括SQL注入、XSS、CSRF等OWASP TOP 10安全风险；熟悉TCP/IP协议，路由交换、常用的应用层协议；熟悉Linux/Windows下系统和软件的安全配置与加固；熟悉常见的安全产品及原理，例如IDS、IPS、防火墙等；熟练掌握C/PHP/Python/Shell等一或多种语言；较好的文档撰写能力、语言表达和与沟通能力。

[Web安全工程师/渗透测试]

**职位描述：**对公司各类系统进行安全加固；对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）；对公司安全事件进行响应，清理后门，根据日志分析攻击途径；安全技术研究，包括安全防范技术，黑客技术等；跟踪最新漏洞信息，进行业务产品的安全检查。

职位要求：熟悉Web渗透测试方法和攻防技术，包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等安全漏洞与防御；熟悉Linux、Windows不同平台的渗透测试，对网络安全、系统安全、应用安全有深入的理解和自己的认识；熟悉国内外主流安全工具，包括Kali Linux、Metasploit、Nessus、Nmap、AWVS、Burp、Appscan等；至少掌握一门编程语言C/JS/Python/PHP/Java/JS等；对Web安全整体有深刻理解，有一定的代码审计和漏洞分析和挖掘能力；具有较强的团队意识、高度的责任感，有良好的文档和沟通能力；

④ 安全岗位总结

走安全行业的工程方向的，技术上面其实有很大的重叠性，抛开甲乙方、岗位名称、岗位职责等因素来看，作为学技术的，也根据以往我们给学员推荐就业和入职情况来看，只要好好掌握以下几种技术（网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言）中的2到3个，都可以较好的胜任工作需求。