90%的人都不算会网络安全，这才是真正的白帽子技术

我敢说，现在网上90%的文章都没有把网络安全该学的东西讲清楚。

为什么？因为全网更多的都是在讲如何去渗透和公鸡，却没有把网安最注重的防御讲明白。

老话说得好：“攻击，是为了更好的防御。”如果连初衷都忘了，网络只会越来越不安全，谈何网络安全！

于是最近我把网络安全的攻守技术做了整理，结合我自己多年来的经验，写成这篇文章，从入门到进阶的该学哪些东西，我都会讲清楚，这应该是全网最新最全的白帽子黑客技术了。

按照业界的惯例，喜欢分红蓝对抗，那么我也分红蓝，把攻守技术给大家讲明白。

---

1.第一阶段：基础入门–红队

红队的任务是攻击，这应该是大家最喜欢的黑客技术了。

作为新手，入门应该学习哪些东西？

• 网络安全（保密法等等，属于软实力，这方面我就不细说了）
• 渗透测试基础（具体技术如下：）

什么是渗透测试？

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法，是指渗透人员在不同的位置利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。

网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题

那么渗透测试该学哪些东西？我给大家列举一下：

• 网络基础
  
• 操作系统基础
  操作系统肯定要熟悉Linux，不会Linux的白帽子都只能算脚本小子。

• WEB安全基础

WEB更多指的是网站，这方面是入手比较适合的。

（1）什么是Web漏洞？
通俗讲指网站程序上的漏洞。WEB漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。

（2）渗透测试工具
网站方面的渗透测试工具起码得掌握这几个：

• 数据库基础

什么是数据库？可以理解为指的是存储数据的软件，要掌握的东西是Excel MySQL、Oracle或SQLServer。

• 编程语言

编程语言目前学2个就可以了，一个是python,一个是PHP。前者实现功能方便快捷，后者是网站搭建比较惯用的。

这2个语言学点基础的就可以了，比如函数、字符串、字典、面向对象、模块等等。

• CTF比赛

学到了这里，你的技术就已经算入门了，可以去试试打CTF比赛了。

每年有大大小小几百场网络安全攻防演习比赛，比赛大部分都设有奖金，奖金从3000到 100000不等。如HVV、网鼎杯、全国大学生网络安全精英赛、湖湘杯、粤盾杯、强网杯、天府杯等等。

全国每年有上五十场CTF比赛，比赛全部都设有奖金，奖金从4000到200000不等，并且 还会颁发具有当地教育部门的证书。

---

第二阶段：技术进阶–红队

网络安全红队技术的进阶的重点在漏洞和注入方面，应该掌握以下几个：

• 弱口令与口令爆破（弱口令指的是简单的密码，口令爆破指的是密码破解）

• XSS漏洞
  

• CSRF漏洞
  

• SSRF
  

• XXE漏洞

• SQL注入
  
• 任意文件操作漏洞

• 业务逻辑漏洞

如果你的技术能到第二阶段这里，那么去外面找个年薪25K以上的网安工作问题不大，可以算得上是一个厉害的白帽子黑客了。

---

红队的技术还没有写完，但篇幅有限，下一篇文章我来专门讲红队的高阶提升，比如说内网渗透和恶意代码之类的。

当然了，后面我还会继续更新蓝队的技术，朋友们如果对网络安全/白帽子感兴趣的话，可以关注我一下。

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

1、知识库价值

深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

2、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合，是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

3、适合学习的人群

‌一、基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌二、能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包含等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传优快云，朋友们如果需要可以在下方优快云官方认证二维码免费领取【保证100%免费】