网络安全到底怎么学？最强总结来了

程序媛西米

已于 2025-03-22 15:05:33 修改

阅读量984

点赞数 25

分类专栏：网络安全文章标签： web安全网络安全网络计算机系统安全计算机网络

于 2025-03-22 15:05:12 首次发布

本文链接：https://blog.youkuaiyun.com/fly_enum/article/details/146440165

版权

网络安全专栏收录该内容

218 篇文章

订阅专栏

现在越来越多应届生转行开始学习网络安全了，网络安全工程师成了不少人梦寐以求的职位。那么
在这里插入图片描述

学网络安全有什么优点呢？

学网络安全对职业发展有利，各企业越来越重视网络安全，网络安全工程师将越来越吃香。
网络安全容易入门，对英语和数学要求都不是很高，前期重要的部分是熟悉电脑和网络基础。
网络安全行业的起步薪资高，一线城市平均薪水10000起步。
学网络安全对个人应急处理问题的能力有很大的帮助。

总的来说，入门网络安全先了解电脑基础，像操作系统Windows和Linux，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机，然后就是入手Web安全…

详细的讲，学网络安全主要路线是：相关基础—信息收集—WEB漏洞—漏洞发现—WAF绕过—权限提升—内网安全—应急响应—红蓝对抗。

相关基础其中包含：

网络安全导论（网络安全大环境趋势、网络安全就业情况及课程内容概述、网络安全就业情况及课程内容概述等）
系统基础（Windows系统、Linux系统、网络基础、网络嗅探原理、WireShark工作原理、RARP协议等）
基础运维（服务器硬件和系统配置、服务器硬件和系统配置、硬件防火墙熟悉和配置等）
Web基础（HTML文档格式、实体、HTML 标签、框架、表格等）
PHP入门（PHP环境搭建、编写代码工具选择、PHP基础语法、PHP操作MYSQL数据库等）
MYSQL（数据库介绍、数据库基本操作创建、查看、选中、数据类型整型、浮点、字符、时间、符合型等字符集合索引等）
信息收集包含（资产监控拓展、CDN绕过技术、CMS识别、架构、搭建分析、搭建习惯目录型站点、搭建习惯端口类站点、WAF介绍等）

WEB漏洞包含：

虚拟化技术（VMWARE、Docker、LINUX的虚拟化）
SQL注入的渗透与防御（简要SQL注入、MYSQL注入、Oracle,MongoDB等注入、QL注入之二次,加解密,DNS等注入、SQLMAP绕过WAF等）
XSS相关渗透与防御（XSS跨站之原理分类及攻击手法、订单及Shell箱子反杀、XSS跨站之代码及httponly绕过）
上传验证渗透与防御（WEB漏洞-文件上传漏洞原理、WEB漏洞-文件上传一句话木马、WEB漏洞-文件上传之内容逻辑数组绕过、WEB漏洞-文件上传之WAF绕过及安全修复等）
CSRF渗透与防御（文件上传后缀客户端验证-JS 禁用&BURP 改包&本地提交、文件上传之内容逻辑数组绕过等）
SSRF渗透与防御（SSRF攻防实战及防范方法等）
WEB漏洞-SSRF漏洞概述及原理
WEB漏洞-SSRF攻防实战及防范方法
XXE渗透与防御
RCE代码及命令执行渗透与防御
反序列化渗透与防御
逻辑相关渗透与防御
WEB漏洞-逻辑漏洞概述（逻辑越权之水平垂直越权全解、逻辑越权之找回机制及接口安全等）
漏洞发现包含（漏洞发现≠漏洞利用框架≠Metasploit¨Searchsploit、漏洞发现≠WEB应用之漏洞探针类型利用、漏洞发现≠操作系统之漏洞探针类型利用等）
WAF绕过包含（WAF绕过≠信息收集之反爬虫延时代理池、WAF绕过≠BT防火墙插件≠默认拦截机制分析绕过、WAF绕过≠Aliyunos≠默认拦截机制分析绕过等）
权限提升包含（权限提升≠基于WEB环境下的权限提升、权限提升≠基于本地环境下的权限提升≠系统溢出漏洞、权限提升≠数据库应用提权在权限提升中的意义）、
内网安全包含（网络信息收集、凭据信息收集、探针主机域控架构服务、域横向移动服务利用、域横向CobaltStrike等）
应急响应包含（常见的WEB 安全攻击技术、日志中记录数据分类及分析、攻击响应-暴力破解(RDP,SSH）-Win,Linux、应用分析-数据库爆破注入等）
红蓝对抗包含（AWD 模式赛制、防守-代码审计、防守-扫描后门、防守-权限维持等）

以上就是网络安全大方向入门要学的路线和知识了。

网络安全这一行的细分很多，网络安全工程师的职位也是分布的很广，学网络安全不仅要考虑学的扎实，也要考虑职业方向，所以真的想入门网络安全这一行，系统的培训才能学的好，网络安全培训的好处是有讲师带路，学习更有方向感，可以更好的找到工作，不为职业发展而忧虑。

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

网络安全的知识多而杂，怎么科学合理安排？

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。