【网络安全学习路线】0基础入门Web安全

【学习路线】0基础入门Web安全

​

PART 01 前言

随着网络技术的不断发展，Web安全已成为各行业不可忽视的关键领域。越来越多的高校和培训机构开设了信息安全相关课程，为学生们打下了良好的理论基础。然而，在实际工作中，初入职场的安全从业者常常会发现，学校课程与工作实践之间存在一定的差距。本文将从多个角度介绍 Web 安全的入门路径，旨在弥合学校课程与实际工作之间的差距，为初学者提供系统化的学习思路和实践指导。

PART 02 Web安全常见职位

根据招聘需求，我们可以更好地了解所需的技能栈，从而有针对性地进行学习和提升。

渗透测试工程&安全服务工程师

高级攻防工程师（红队、红蓝对抗）

代码审计工程师（SDL、DevSecOps）

安全运营工程师（安全建设）

售前工程师（安全技术与沟通）

PART 03 Web基础入门

学校内需要好好学习的课程

​ C语言基础、数据结构、前端(html、js、css)、java或php、数据库。

需自主学习的内容

​ OWASP十大漏洞（注入、失效的身份认证和会话管理、跨站脚本XSS、不安全的直接对象应用、安全配置错误、敏感信息泄露、缺少功能访问控制、跨站请求伪造、使用含有已知漏洞的组件、未验证的重定向和转发）

推荐以下靶场入门:

​ https://github.com/zhuifengshaonianhanlu/pikachu

​ https://github.com/digininja/DVWA

​ https://github.com/Audi-1/sqli-labs

​ https://github.com/c0ny1/upload-labs

​ https://github.com/do0dl3/xss-labs

渗透测试综合能力提示

​ 信息收集、漏洞利用、内网渗透、权限维持、痕迹清除、编写报告。

​ 推荐vulnhub靶场入门 https://www.vulnhub.com/

PART 04 Web安全进阶

代码审计

​ php php常见危险函数、熟悉MVC架构、分析PHP主流框架中存在的漏洞。

​ java javase基础学习、java反射机制、java动态代理、常见设计模式、java常见框架学习(struts2、spring)、java反序列化、cc链。

内网渗透

​ 推荐红日靶场入门 http://vulnstack.qiyuanxuetang.net/vuln/

实战SRC漏洞挖掘

​ 教育src https://src.sjtu.edu.cn/

​ 公益src

​ https://www.butian.net/

​ https://www.vulbox.com/

​ 企业src

​ https://www.anquanke.com/src

安全开发

​ 语言基础、爬虫框架、并发（多线程、多进程、协程）、POC编写、工具二开。**
**

PART 05

Web安全基础素养

​ 环境问题

​ 学习安装操作系统(Vmware、Windows、Ubuntu/kali)。记录踩坑避免下次遇到。

​ 熟悉掌握各类网络环境配置、静态和动态IP、DNS配置、桥接/NAT/仅主机、wireshark分析网络问题。

​ 科学上网、Google搜索技巧

​ 提问艺术(背景+困惑+目标)

文档编写与团队协作

​ Word、PPT、Markdown资料整理和笔记记录。

​ 团队git或文档协作。

​ 多于朋友、学长、网友交流。

其他

​ 完全没法解决的问题放一放做好记录，防止学习自闭。

​ 了解网络安全行业相关法律和方向，顺势而为。

​ 关注安全圈动态（RSS、安全公众号、安全论坛）。

文章来自网上，侵权请联系博主

互动话题：如果你想学习更多网安方面的知识和工具，可以看看以下题外话！

题外话

黑客&网络安全如何学习

如果你也对网路安全技术感兴趣，但是又没有合适的学习资源，我可以把私藏的网安学习资料免费共享给你们，来看看有哪些东西。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，100多本网安电子书，最新学习路线图和工具安装包都有，不用担心学不全。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源