网络安全到底怎么学？最强总结来了

最新推荐文章于 2025-12-05 16:56:34 发布

原创最新推荐文章于 2025-12-05 16:56:34 发布 · 1k 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全 #学习 #网络安全 #网络 #黑客

现在越来越多应届生转行开始学习网络安全了，网络安全工程师成了不少人梦寐以求的职位。那么学网络安全有什么优点呢？

学网络安全对职业发展有利，各企业越来越重视网络安全，网络安全工程师将越来越吃香。
网络安全容易入门，对英语和数学要求都不是很高，前期重要的部分是熟悉电脑和网络基础。
网络安全行业的起步薪资高，一线城市平均薪水10000起步。
学网络安全对个人应急处理问题的能力有很大的帮助。

总的来说，入门网络安全先了解电脑基础，像操作系统Windows和Linux，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机，然后就是入手Web安全…

详细的讲，学网络安全主要路线是：相关基础—信息收集—WEB漏洞—漏洞发现—WAF绕过—权限提升—内网安全—应急响应—红蓝对抗。

WEB漏洞包含：

虚拟化技术（VMWARE、Docker、LINUX的虚拟化）
SQL注入的渗透与防御（简要SQL注入、MYSQL注入、Oracle,MongoDB等注入、QL注入之二次,加解密,DNS等注入、SQLMAP绕过WAF等）
XSS相关渗透与防御（XSS跨站之原理分类及攻击手法、订单及Shell箱子反杀、XSS跨站之代码及httponly绕过）
上传验证渗透与防御（WEB漏洞-文件上传漏洞原理、WEB漏洞-文件上传一句话木马、WEB漏洞-文件上传之内容逻辑数组绕过、WEB漏洞-文件上传之WAF绕过及安全修复等）
CSRF渗透与防御（文件上传后缀客户端验证-JS 禁用&BURP 改包&本地提交、文件上传之内容逻辑数组绕过等）
SSRF渗透与防御（SSRF攻防实战及防范方法等）
WEB漏洞-SSRF漏洞概述及原理
WEB漏洞-SSRF攻防实战及防范方法
XXE渗透与防御
RCE代码及命令执行渗透与防御
反序列化渗透与防御
逻辑相关渗透与防御
WEB漏洞-逻辑漏洞概述（逻辑越权之水平垂直越权全解、逻辑越权之找回机制及接口安全等）
漏洞发现包含（漏洞发现≠漏洞利用框架≠Metasploit¨Searchsploit、漏洞发现≠WEB应用之漏洞探针类型利用、漏洞发现≠操作系统之漏洞探针类型利用等）
WAF绕过包含（WAF绕过≠信息收集之反爬虫延时代理池、WAF绕过≠BT防火墙插件≠默认拦截机制分析绕过、WAF绕过≠Aliyunos≠默认拦截机制分析绕过等）
权限提升包含（权限提升≠基于WEB环境下的权限提升、权限提升≠基于本地环境下的权限提升≠系统溢出漏洞、权限提升≠数据库应用提权在权限提升中的意义）
内网安全包含（网络信息收集、凭据信息收集、探针主机域控架构服务、域横向移动服务利用、域横向CobaltStrike等）
应急响应包含（常见的WEB 安全攻击技术、日志中记录数据分类及分析、攻击响应-暴力破解(RDP,SSH）-Win,Linux、应用分析-数据库爆破注入等）
红蓝对抗包含（AWD 模式赛制、防守-代码审计、防守-扫描后门、防守-权限维持等）