前言
很多小伙伴喜欢网络安全 ， 或者认为黑客很帅 ， 或者认为网络安全行业是未来很有前景的行业 ， 总之各种理由 ， 想学习网络安全但是不知道从合下手 。 王家楠就简单给大家总结一下

基础部分学习

1. 基础部分包安全法律法规 ， 因为这是安全行业这个是必须的 ， 因为你要知道什么可以做 ， 什么不可以做 。
   
2. 计算机网络学习 OSI、TCP/IP 模型 ， 网络协议 ， 网络设备工作原理等内容 ， 其它内容可以快速略过 。
   
3. Linux命令 ， 常用的命令就那么四十个 ， 记住就行 ， 其他的不会的时候在去搜索手册 。 因为初期不要把大部分时间用在熟悉所有命令上 ， 因为你会厌学的这是人性 。
   
4. 简单的语言学习 ， 知道了解htmljs.phpjava的基本语法和他们是做什么用的就行 ， 然后熟悉常用的前端和后端框架 。 还有服务器 ， nginxtomocat等等
   

5..数据库 ， 常用的sql还有一些数据库要了解 。 比如说mysqlorcaldb2
web安全基础知识学习
包括web安全的基础知识学习 ， web安全的漏洞和防御 ， 企业web安全防护策略 ， 可以找一些视频看看 ， 网上的学习资料有很多 ， 可以看不懂 ， 大致浏览一下 ， 这个上面不用花费太多时间 。
web渗透

1. 推荐靶场常见的靶场都可以上 github 平台搜索 ， 推荐以下靶场 DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等 ， 有些是综合靶场 ， 有些是专门针对某款漏洞的靶场；
   
2. 主要掌握一些平台的工具比如AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具 ssrs、hydra、medusa、airspoof 等 ， 以上工具的练习完全可以利用上面的开源靶场去练习 ， 足够了 。
   
3. 练习差不多了 ， 可以去 SRC 平台渗透真实的站点 ， 看看是否有突破 ， 如果涉及到需要绕过 WAF 的 ， 需要针对绕 WAF 专门去学习 ， 姿势也不是特别多 ， 系统性学习学习 ， 然后多总结经验 ， 更上一层楼 。
   
4. 【网络安全|网络安全自学路线规划建议，想转行的也可以看看】自动化渗透 ， 建议学习一中脚本语言 ， 推荐python大家一听说要学习语言都有点慌了 ， 不是让你精通 ， 写上个一百行左右的代码 ， 多写就会了 。
   

5. 接下来可以开始尝试写一些常见得工具 ， 如爬虫、端口探测、数据包核心内容提取、内网活跃主机扫描等 ， 然后再写一些 POC 和 EXP 脚本 ， 以靶场为练习即可 。 记得需要上手多练习 。
代码审计

1. 这个你可以不会 ， 学到上面的时候你已近入行了 ， 可以找工作了 。 代码审计代码审计顾名思义 ， 审计别人网站或者系统的源代码 ， 通过审计源代码或者代码环境的方式去审计系统是否存在漏洞（属于白盒测试范畴） 。
   
2. 审计工具的学习如 seay 等 。
   
3. 掌握常见的功能审计法AuditDemo 。
   
4. 常见 CMS 框架审计 。
   内网安全
   内网的知识难度稍微偏大一些 ， 这个和目前市面上的学习资料还有靶场有一定的关系；内网主要学习的内容主要有：内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT 等等 。
   
   

拓展
渗透拓展部分 ， 和具体工作岗位联系也比较紧密 ， 尽量要求掌握 ， 主要有日志分析、安全加固、应急响应、等保测评等内容；其中重点掌握前三部分 ， 这块的资料网络上也不多 ， 也没有多少成型的书籍资料 ， 可通过行业相关的技术群或者行业分享的资料去学习即可 ， 能学到这一步 ， 基本上已经算入门成功 ， 学习日志分析、安全加固、应急响应三部分的知识也相对较为容易 。

• 荣光|小米逐渐变更路线，旗舰走中端旗舰的道路，结局只会两败俱伤
• 零基础|自学编程半年后ai应用上架开卖
• 网络安全|运营商竞合？多的是合作，少的是竞争
• 机械硬盘|机械硬盘真没人买 大厂裁员、清库存！东芝晒路线图：30TB新品上路
• 自学编程半年后AI应用上架开卖，他的学习心得分享火了
• 勒索病毒|网络安全运维流量攻击分析需要掌握的核心能力有什么
• 网络安全|骚扰电话害人不浅
• 网络安全|外卖平台以惊人速度发展壮大，不是靠的高科技，而是法律漏洞的红利
• 5G|企业的“网络安全焦虑”双子帮你打破
• 勒索软件|三大网络安全威胁持续频发