0基础该如何转行网络安全?值得吗?

原创 于 2025-12-19 16:09:30 发布 · 352 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络 #安全

0基础该如何转行网络安全?值得吗?

前言

最近在后台有看到很多朋友问我关于网络安全转行的问题,今天做了一些总结,其中最多的是,觉得目前的工作活多钱少、不稳定、一眼望到头,还有一些就是目前工作稳定但是缺乏上升空间的。总的来说,大家主要的问题是:0基础真的能学会吗?怎么学?需要准备啥?发展前景如何?学完能拿到高薪吗?

为此我将问题化为三个:

1.网络安全行业现状如何?

2.网络安全如何学习?

3.想入坑网络安全需要做哪些准备?

PART.01

网络安全行业现状如何?

目前,世界发达经济体急速加快数字化经济布局:美国超前部署数字经济战略规划,欧洲各国也全面实施了“数字欧洲”计划,中国“十四五”规划和2035远景目标纲要将“加快数字化发展,建设数字中国”单独成篇,擘画了数字中国建设蓝图。

也正是由于世界经济的数字化转型和高质量发展的迫切需求,从而快速推动了各国迈入万物智能互联的时代。

现如今,我国对国外信息技术产品还存在一定依赖,尤其是半导体、信息系统等。因此,我国网络与信息安全关键部件和技术实现自主可控。

从而大力加强网络安全建设,现阶段保护网络安全工作已成为国家和有关部门的重点研究方向。

《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中提到,2023年,网络安全产业规模将超过2500亿元,年复合增长率超过15%。数据显示,我国现存网络安全相关企业已达62.4万家。

根据IDC预测,未来五年中国将成为网络安全三大一级市场中增速最快的子市场,2021-2025年复合增长率将超过20%。需求层面,企业对数据安全问题提高了重视程度,数据安全领域的企业服务供应商得到了较大的发展空间,包括云服务、网络安全、威胁检测与响应等领域的供应商将进一步“基础设施”化,公司的数量将持续增加,细分领域也将不断拓展。

数据来源:中研普华产业研究院

但由于网络安全人才在我国极为稀缺,为了加大人才建设,薪资待遇也是十分可观。

据《网络信息安全产业人才发展报告》显示,目前我国网络安全专业人才缺口超140万人,2022上半年,网络安全产业人才需求总量较去年增长39.87%。

由于人才缺口巨大,据《2021瀚纳仕亚洲薪酬指南》显示,网络安全相关基层工作人员的年薪均在30万元到80万元(人民币)区间浮动。

从上图可以看出,网络安全人才初级薪资标准为8k—15k,专业以上的级别就更不用说了。只要你从事了这个行业,达到了企业的用人标准,完全是妥妥的高新技术人才。

PART.02

网络安全如何学习?

0基础转行如何学习?

第一阶段:基础操作入门

入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,其中包括:计算机组成原理、计算机网络、计算机体系结构、计算机操作系统,密码学,多媒体技术等等。

第二阶段:学习基础知识

现阶段,你已经对网络安全有了基本的了解。当你已经完成第一步,相信你己经理解了sql注入,什么是xss攻击,并掌握了burp、msf、cs等安全工具的基本操作。这个时候最重要的是开始打地基!

所谓的 “打地基” 其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备5个基础知识模块:

操作系统

协议/网络

数据库

开发语言

常见漏洞原理

第三阶段:实战操作

1.挖SRC

挖SRC的主要目的是能够更好的检测你的技能是否落到实处,学习网络安全最大的错觉就是觉得自己什么都懂了,但是当你真的挖漏洞的时候,就不知所措了,因此,SRC是一个不错的技能应用机会。

2.学习技术分享帖(漏洞挖掘类型)

观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。

3.靶场练习

搭建自己的靶场或者去免费的靶场网站练习,有条件的话可以去购买或者报可靠的培训机构,一般都有配套的靶场练习。

第四阶段:分方向

慢慢地找到自己的兴趣点,看自己是喜欢做各种工具的开发,攻破网站,还是沉迷于主机电脑攻击,可以仔细考虑自己的方向,然后集中精力朝着主要方向学习。

学习的方法就是要写更多的代码,阅读优秀的开源代码,两个样本,写EXP等,渗透测试更多的网站,记得合法授权。这样对于以后进大厂,进入细分岗位时可以更清晰地选择适应。

PART.03

入坑网络安全需要准备啥?

准备一个人、一台电脑、时间和耐心即可。

学习这方面的知识可以web安全开始,先了解web网站的前端三件套,这部分内容可以去菜鸟教程、B站看相应的教程,然后是网站的后台。再进一步就可以去接触web安全中涉及的工具,白帽子常见的工具:sqlmap、nmap、awvs、appscan、msf这些都需要去学习和研究,当然还有常见的web漏洞:sql注入、xss漏洞、上传漏洞、csrf、ssrf、文件包含、以及一些文件读取、逻辑漏洞(逻辑越权、逻辑支付等漏洞)。

新手入门简而言之就是,先学web基础,然后积累经典漏洞案例。

如果你选择了网络安全,那么我下面给大家准备的资料一定能助你一臂之力,加油!

学习资源

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,100多本网安电子书,最新学习路线图和工具安装包都有,不用担心学不全。
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

无线网优这个岗位怎么样?网工值得考虑吗?
网络技术联盟站
03-17 494
简单来说,无线网优工程师是无线网络的“调音师”。他们的核心任务是通过技术手段优化网络性能,确保信号覆盖广、速度快、连接稳。想象一下,当你在偏远山区也能刷视频,或者在拥挤的火车站还能顺畅打电话,这背后很可能就有一位无线网优工程师的功劳。
网络工程师软考笔记(非常详细)零基础入门到精通,收藏这篇就够了
weixin_57514792的博客
08-22 1837
网络工程师软考笔记(非常详细)零基础入门到精通,收藏这篇就够了
IT行业零基础可以学习吗?
XiaoYing_0921的博客
06-18 1261
基础怎么入行IT,又该如何选择行业,以及小白的系统学习路线。
程序员35岁后怎么办?这些转型方向值得考虑
AI天才研究院
05-09 1192
根据中国软件行业协会2023年报告,国内程序员平均年龄28.6岁,35岁以上从业者占比仅17.2%,而互联网企业管理层中技术背景出身者占比达68%。这种结构性矛盾本质上是技术价值转化路径单一化与职业发展通道窄化的集中体现。程序员35岁危机的本质,是单一技术能力与多元价值需求的错配。能力重构:从技术执行到技术赋能、商业转化、团队领导的多维能力拓展路径创新:依据个人特质选择技术专家、管理者、创业者等差异化转型路径生态构建:建立包含技术储备、商业思维、人脉资源的立体化职业发展体系。
网络安全(黑客技术)—2024自学手册
Dasdwer的博客
04-18 1641
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
基础学习网络安全,如何安排每天的学习计划?需要重点攻克哪些核心技能点?
2401_85023633的博客
12-18 415
希望这份学习路径和技能清单能为你扫除迷雾,提供一个清晰的起点。网络安全是一个需要持续学习的领域,保持好奇和动手实践的热情,是成功的最大动力。如果你对某个特定工具或漏洞的学习有更具体的疑问,我们可以继续深入探讨。 源
渗透测试行业术语扫盲(第六篇)—— Web安全专用类术语
qq_39241682的博客
12-09 906
Web是渗透测试的主战场。要在此作战,不仅要懂攻击漏洞(如上一篇所述),更要理解支撑Web运行的基础身份机制、浏览器安全规则以及攻防双方使用的具体工具与载荷。本篇将深入Web安全的“皮下组织”,从维持登录状态的Cookie,到攻击者留下的Webshell,再到防御者的CSP策略,为你揭示这个战场的完整规则与装备图景。
推荐一些适合零基础学习网络安全的具体在线课程或书籍?
2401_85023633的博客
12-18 597
本文提供了一份网络安全学习资源指南,推荐了多种适合不同阶段的在线课程、平台和书籍。课程方面包括新手友好的TryHackMe、实战导向的HackTheBox以及体系化的极客时间课程;书籍推荐涵盖Linux基础网络原理和Web安全经典著作。学习路径建议从计算机基础开始,逐步过渡到专项学习和实战演练,强调理论与实践相结合。文中还推荐了DVWA靶场和CTF平台等实践资源,帮助学习者循序渐进地掌握网络安全技能。
Web安全】SSRF
qinjilll的博客
12-12 1001
SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞,允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制,常见于社交分享、在线翻译、图片加载等功能点。 漏洞利用方式包括: 探测内网存活主机和开放端口 利用file协议读取本地敏感文件 访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行 防御措施: 白名单限制:仅允许访问可信域名/IP和协议 输入校验:过滤特殊字符,校验IP归属 内网服务加固:禁用未授权访问,设置强密码
内网渗透是网络安全渗透测试
2501_93842368的博客
12-18 1025
内网渗透是网络安全渗透测试的核心环节之一,指在(如拿下 Web 服务器、外网主机权限)后,对内部网络进行横向移动、权限提升、信息收集、持久化控制的一系列操作。其知识体系涵盖。
汽车嵌入式系统网络安全风险缓解方案:AI驱动入侵检测与安全通信协议
NewCarRen的博客
12-17 653
本文探讨了汽车数字化进程中嵌入式系统面临的网络安全挑战及应对策略。随着车辆互联化和自动化程度提高,传统安全框架难以应对日益复杂的网络威胁。研究提出了一种分层防御模型,结合人工智能驱动的入侵检测系统(IDS)与轻量级安全通信协议。实验表明,混合CNN-LSTM模型在CAN总线和V2X通信中可实现95%以上的异常检测准确率,同时优化加密方案将处理延迟控制在毫秒级。该框架既满足ISO/SAE21434等法规要求,又适应嵌入式系统的资源限制。研究还分析了实际部署面临的技术、监管和经济障碍,并展望了后量子密码学、联邦
网络安全】二、常用网络安全管理工具
dochyi的博客
12-12 728
本文介绍了5个常用网络安全管理工具(ping、ipconfig、netstat、net、at)的实验操作。通过搭建由两台PC组成的局域网环境,详细演示了各工具的功能应用:使用ping测试连通性,ipconfig查看IP配置,netstat监控端口状态,net进行用户和共享管理,at设置定时任务。实验重点分析了工具在故障排查、网络监控和安全防护中的作用,如通过netstat检测异常连接、net命令管理用户权限等。最后总结了各工具的使用要点和安全实践意义,强调合理配置参数和权限管理的重要性,为网络基础运维提供实
绿电直连系统安全防护技术:网络安全、运行安全与数据安全的全维度保障
xigedianli的博客
12-18 574
绿电直连系统面临网络安全、运行安全和数据安全三重风险,需构建全维度保障体系。网络安全需通过边界隔离、接入认证和威胁监测技术抵御攻击;运行安全依靠状态预警、协同控制和应急处置技术确保稳定供电;数据安全采用加密、脱敏和合规审计技术保护敏感信息。需结合技术防护与管理体系,实现风险联防联控,为绿电直连系统提供可靠安全保障,支撑低碳转型发展。
网络安全中级阶段学习笔记(七):Web 安全之文件上传漏洞笔记1(包含upload-labs-master靶场前三关实战)
2501_91976946的博客
12-15 848
摘要:本文系统梳理文件上传漏洞攻防要点,包含漏洞定义、危害(如Webshell控制服务器)、检测流程及多种绕过技巧(JS验证、MIME-Type、黑名单等)。重点提出"白名单+多环节验证"防御方案,包括严格后缀验证、文件类型检测、权限控制等。补充靶场实践案例,演示通过修改后缀、利用解析特性实现漏洞利用。强调防御需结合前端限制、服务端校验与安全监控,构建纵深防护体系。
网络安全中对称算法和非对称算法的作用和区别
2301_80954266的博客
12-13 312
(高级加密标准)算法就是一种广泛使用的对称加密算法,它提供了多种密钥长度选择,能够满足不同安全级别的需求,在数据传输过程中,发送方使用AES算法和密钥对数据进行加密,接收方使用相同的密钥进行解密,从而确保数据在传输过程中的安全性。$$ E_{pk}(P) = C \quad \text{和} \quad D_{sk}(C) = P $$$$ E_k(P) = C \quad \text{和} \quad D_k(C) = P $$其中 $P$ 为明文, $C$ 为密文, $k$ 为共享密钥。
网络安全需掌握的专业术语解析
lubiii_的博客
12-14 722
网络安全领域,各种英文缩写构成了专业交流的基础语言。对于从业者和学习者而言,准确理解这些术语的含义和关联至关重要。本文将系统梳理网络安全的核心术语,帮助读者建立清晰的认知框架。
专家解读 | 探索安全与价值共赢的智驾数据流通新范式——兼论对物流可信数据空间建设的启示
物流可信数据空间
12-18 437
物流可信数据空间
基础转行网络安全需要多长时间?具体的学习路径是怎样的?
最新发布
白帽子凯哥哥的博客
12-18 294
摘要: 零基础转行网络安全通常需6-12个月,具体时长取决于学习方式(培训4-6个月/全职自学6-8个月/兼职8-12个月)。学习路径分三阶段:1-3个月掌握基础(计算机/网络/编程);3-6个月进阶渗透测试与漏洞利用;6-12个月实战提升(内网渗透、代码审计等)。就业方向包括渗透测试(15-30K)、安全运维(8-15K)等,需掌握Python、BurpSuite等工具及实战经验。推荐资源:TryHackMe、Vulnhub及《白帽子讲Web安全》等书籍。系统学习+持续实践是关键。
网络方向值得考的证
08-26
网络安全方向,考取权威认证证书不仅可以提升个人专业能力,还能增强职场竞争力。以下是一些推荐考取的证书: ### CISSP(注册信息系统安全专家) CISSP 是由国际信息系统安全认证协会((ISC)²)颁发的认证,被广泛认为是网络安全领域最权威的认证之一。它覆盖了信息安全的八大知识领域,包括安全与风险管理、资产安全安全工程等。由于其广泛的认可度和高标准,CISSP 被许多企业和政府机构视为信息安全岗位的重要门槛。然而,其考试难度较大,要求考生具备至少五年以上的相关工作经验,并通过一门长达6小时的综合考试。 ### CISP(注册信息安全专业人员) CISP 是由中国信息安全测评中心推出的认证,主要面向国内网络安全从业人员。它更贴近中国本地的信息安全政策和实践,适合希望在中国信息安全领域发展的专业人士。CISP 考试内容涵盖信息安全保障、风险管理、安全工程与管理等多个方面。相较于 CISSP,CISP 的门槛较低,适合初入行业的网络安全人员报考。 ### CEH(Certified Ethical Hacker,注册道德黑客) CEH 是由 EC-Council 推出的一项专注于渗透测试和安全评估的认证。它主要面向希望从事安全测试、漏洞评估等工作的人员。CEH 的课程内容包括网络嗅探、端口扫描、社会工程学攻击模拟等,强调实战技能的培养。该认证在全球范围内被广泛认可,尤其适合从事网络安全攻防分析、安全审计等岗位的技术人员。 ### CompTIA Security+ Security+ 是一项面向入门级和中级网络安全从业人员的基础认证,由 CompTIA 组织颁发。它涵盖了网络安全的核心知识,包括威胁管理、密码学基础、访问控制、合规性等。Security+ 是进入网络安全行业的良好起点,尤其适合刚入行或希望转行的人员。许多企业也将其作为初级安全岗位的入职要求之一。 ### CISA(Certified Information Systems Auditor,注册信息系统审计师) CISA 是由信息系统审计与控制协会(ISACA)颁发的认证,主要面向信息系统审计、控制和安全领域的专业人士。该认证在全球范围内受到金融、政府、大型企业等领域的高度重视。CISA 的考试内容包括信息系统审计流程、IT治理与管理、信息资产保护等。持有 CISA 认证的专业人员通常在信息系统合规性、风险审计等方面具有较强的竞争力。 ### 其他推荐证书 - **OSCP(Offensive Security Certified Professional)**:以实战渗透测试为核心,适合希望从事高级攻防对抗的人员。 - **CCNA Security / Cisco Certified CyberOps Associate**:思科推出的网络安全相关认证,适合网络工程师转型网络安全方向。 - **CISM(Certified Information Security Manager)**:由 ISACA 推出,面向信息安全管理人员,强调企业级信息安全管理能力。 ```python # 示例:列出推荐的网络安全认证 certifications = [ "CISSP - 注册信息系统安全专家", "CISP - 注册信息安全专业人员", "CEH - 注册道德黑客", "CompTIA Security+", "CISA - 注册信息系统审计师", "OSCP - 渗透测试专家", "CCNA Security / Cisco Certified CyberOps Associate", "CISM - 注册信息安全经理" ] for cert in certifications: print(f"- {cert}") ``` [^1] [^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值