【Web 安全】刚开始学渗透，零基础怎么入门？

上周旁听了一个大学学长组织的线上网络安全交流会，里边不乏充斥着各位行业大牛，讲的内容确实精彩，可能对于网络安全经验 5 年+的人来说，是受益匪浅，欢迎程度极高，恨不得跳出屏幕来表示赞同，毕竟很多提到的问题，我在工作中也很常见，但是作为资历一般的程序员，有一些理解起来还是有些困难，评论区里同时也还有另外一种声音：

听不懂啊，还可以再细讲一些吗？刚毕业，刚开始学渗透，可以说说入门的吗？走了走了，零基础满脸懵……太难了，放弃渗透了

我很能理解“另一种声音”，我当初也是自学渗透，刚开始的时候，我连 SQL 注入都搞不明白，去找有经验的人问，结果问了几回人家就烦了，所以，学习这种事，还是得靠自己。

【一一帮助安全学习一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

根据我自己的经验来说，想从零开始学渗透，以后也确实想找相关的工作，基本是下边这三种方式：

• 继续上学。报个这方面的专业，学上两三年，老师就在身边，有啥不懂的问题，直接办公室走一趟，毕业的时候去找工作不成大问题；

• 看书自学。这块可以看看 GitHub 上的《白帽子讲安全》，对细节把握很到位！

• 在网上找视频课自学。你可以利用碎片时间去学，时间上会更节省，我为了苦学渗透大概买了十多门课吧。

读研读博这件事时间成本比较高，我对自己没有完全的自信，所以我思考再三，还是决定踏入社会浪潮了。（但是对于学习能力强，本科也比较优秀的学生，非常建议继续读研读博，未来踏入社会起薪会非常高，我现在身边就有两个博士大神，我只能膜拜了。。。）

进入社会之后，我基本就是买书和看视频自学，这回给你们来个全方位安利：

一、网站推荐

1、B 站

渗透初学者的法宝，不需要下载，网页就可以看。在这里，你不仅可以学习源代码和安装程序，更有各种文献、安全交流社区，还会告诉你安全的最新行情！

2、Github

站内的文献很全面，无论你想学习哪种领域，都可以轻松在这里找到合适的项目及源代码。

（ps：看不懂英文可以在浏览器设置翻译成中文更适合阅读）

3、FreeBuf

这个学习网站里面有很多安全文章可供学习，实战比较多

4、CSDN

如果说你的英文是难题，给你推荐 CSDN，是国内老牌程序员社区，里边有各领域博文、资料、课程，基本很多专业问题都可以在这里查。

下面是给不同目标人群自学安全渗透的一些建议：第一部分是计算机基础内容，这个部分是所有自学安全渗透的人都必须掌握的，如果把学习渗透当做是建一个房子，那么这一部分相当于打地基，是必须牢牢掌握的：

这个只是个概括，详细的可以找我无偿👉【高清路线】

1、基础知识

如果是毫无基础可言，甚至不知道如何学可以看下面👇

一、基础阶段

★中华人民共和国网络安全法 （包含 18 个知识点）★Linux 操作系统 （包含 16 个知识点）★计算机网络 （包含 12 个知识点）★SHELL （包含 14 个知识点）★HTML/CSS （包含 44 个知识点）★JavaScript （包含 41 个知识点）★PHP 入门 （包含 12 个知识点）★MySQL 数据库 （包含 30 个知识点）★Python （包含 18 个知识点）————————————————

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

二、渗透阶段

■SQL 注入的渗透与防御（包含 36 个知识点）■XSS 相关渗透与防御（包含 12 个知识点）■上传验证渗透与防御（包含 16 个知识点）■|文件包含渗透与防御（包含 12 个知识点）■CSRF 渗透与防御（包含 7 个知识点）■SSRF 渗透与防御（包含 6 个知识点）■XXE 渗透与防御（包含 5 个知识点）■远程代码执行渗透与防御（包含 7 个知识点）■…（包含…个知识点）————————————————

掌握常见漏洞的原理、使用、防御等知识。Web 渗透阶段还是需要掌握一些必要的工具。

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具 ssrs、hydra、medusa、airspoof 等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

三、安全管理（提升）

★渗透报告编写（包含 21 个知识点）★等级保护 2.0（包含 50 个知识点）★应急响应（包含 5 个知识点）★代码审计（包含 8 个知识点）★风险评估（包含 11 个知识点）★安全巡检（包含 12 个知识点）★数据安全（包含 25 个知识点）————————————————

主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。

这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位，这一阶段可学可不学。

四、提升阶段（提升）

■密码学（包含 34 个知识点）■JavaSE 入门（包含 92 个知识点）■C 语言（包含 140 个知识点）■C++语言（包含 181 个知识点）■Windows 逆向（包含 46 个知识点）■CTF 夺旗赛（包含 36 个知识点）■Android 逆向（包含 40 个知识点）————————————————

主要包括密码学、JavaSE、C 语言、C++、Windows 逆向、CTF 夺旗赛、Android 逆向等。

主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。

【一一帮助安全学习一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析