零基础学习网络安全

‘壹’ 网络安全怎么去学习呢

学习网络安全可以从以下几点着手：
1、首先要看一些网络安全入门书籍，先了解一下网络安全相关的理论知识。
2、看一些在线视频，视频中讲解的还是挺明白的，而且一般都有演示，可以学习一些实操方法。
3、想要快速学习网络安全，也可以去报班，毕竟老师还是很专业的。

‘贰’ 网络安全如何入门

零基础、转专业、跨行等等都可以总结为，零基础或者有一点基础的想转网络安全方向该如何学习。

要成为一名黑客，实战是必要的。安全技术这一块儿的核心，说白了60%都是实战，是需要实际操作。

如果你选择自学，需要一个很强大的一个坚持毅力的,还有钻研能力，大部分人是东学一块西学一块儿，不成体系化的纸上谈兵的学习。许多人选择自学，但他们不知道学什么。

再来说说，先学编程还是渗透，

很多人说他们想学编程，但是在你学了编程之后。会发现离黑客越来越远了。。。

如果你是计算机专业的，之前也学过编程、网络等等，这些对于刚入门去学渗透就已经够了，你刚开始没必要学那么深，有一定了解之后再去学习。如果是转专业、零基础的可以看我下面的链接，跟着公开课去学习。

B站有相关零基础入门网络安全的视频

快速入门

另外说一句，渗透是个立马可以见效的东西，满足了你的多巴胺，让你看到效果，你也更有动力去学。

举个栗子：你去打游戏，杀了敌人，是不是很舒服，有了反馈，满足了你的多巴胺。

编程这玩意，周期太长，太容易劝退了，说句不好听的，你学了三个月，可能又把之前学的给忘了。。。这又造成了死循环。所以想要学网安的可以先学渗透。在你体验了乐趣之后，你就可以学习编程语言了。这时，学习编程语言的效果会更好。因为你知道你能做什么，你应该写什么工具来提高你的效率！

先了解一些基本知识，协议、端口、数据库、脚本语言、服务器、中间件、操作系统等等，

接着是学习web安全，然后去靶场练习，再去注册src挖漏洞实战，

学习内网，接着学习PHP、python等、后面就学习代码审计了，

最后还可以往硬件、APP、逆向、开发去学习等等

（图片来自A1Pass）

网络安全学习实际上是个很漫长的过程，这时候你就可以先找工作，边工边学。

怎么样能先工作：

学完web安全，能够完成基本的渗透测试流程，比较容易找到工作。估计6到10k

内网学完估计10-15k

代码审计学完20-50k

红队表哥-薪资自己谈

再来说说如果你是对渗透感兴趣，想往安全方面走的，我这边给你一些学习建议。

不管想学什么，先看这个行业前景怎么样--

2017年我国网络安全人才缺口超70万，国内3000所高校仅120所开设相关专业，年培养1万-2万人，加上10
-
20家社会机构，全国每年相关人才输送量约为3万，距离70万缺口差距达95%，此外，2021年网络安全人才需求量直线增长，预计达到187万，届时，人才需求将飙升278%！

因为行业人才输送与人才缺口的比例问题，网络安全对从业者经验要求偏低，且多数对从业者学历不设限。越来越多的行业从业者上升到一定阶段便再难进步，很容易被新人取代，但网络安全与其他行业的可取代性不同，网络安全工程师将在未来几十年都处于紧缺状态，并且，对于防御黑客攻击，除了极少数人靠天分，经验才是保证网络安全的第一法则。

其次，不管是什么行业都好，引路人很重要，在你刚入门这个行业的时候，你需要向行业里最优秀的人看齐，并以他们为榜样，一步一步走上优秀。

不管是学习什么，学习方法很重要，当你去学习其他知识时候，

都可以根据我下面介绍的方法去学习：

四步学习法

一、学习

二、模仿

三、实战

四、反思

说在前头，不管是干什么，找到好的引路人很重要，一个好老师能让你少走很多弯路，然后迈开脚步往前冲就行。

第一步，找到相关资料去学习，你对这个都不了解，这是你之前没接触过的领域，不要想着一次就能听懂，当然天才除外（狗头滑稽），听完之后就会有一定的了解。

第二步，模仿，模仿什么，怎么模仿？先模仿老师的操作，刚开始可能不知道啥意思，模仿两遍就会懂一些了。

第三步，实战，怎么实战？先去我们配套的靶场上练习，确定靶场都差不多之后，再去申请成为白帽子，先去挖公益src，记住，没有授权的网站都是违法的。（师父领进门，判刑在个人）

第四部，反思，总结你所做的步骤，遇到的问题，都给记录下来，这个原理你理解了吗？还是只是还是在模仿的部分养成做笔记的习惯。

学习方式有了，接下来就是找到正确的引路人进行学习，一个好的引路人，一个完整的体系结构，能让你事半功倍。

‘叁’ 网络安全容易学么

肯定是有一定难度的，但如果是大学毕业，大学计算机专业里大多开设了相关计算机基础课程，学起网络安全来也会轻松不少。即使是零基础也不用担心，网络安全可以零基础授课，入门比较简单，难的是学深入，这不是一件容易的事。学习网络安全是一个循序渐进的过程，要想完全凭自学是很难精通这一技能的。需要付出较多的时间去学习和思考

‘肆’ 网络安全难学习吗

学习网络安全需要循序渐进，由浅入深。其实网络安全本身的知识并不难，但是需要学习的内容有很多，比如包括Linux、数据库、渗透测试、等保测评、应急响应、代码审计等，想要学好并非易事。如果想要学习网络安全，一旦确定之后，我们就要不怕困难，坚定的走下去，只要努力就有回报。
这种情况下，我们也可以选择参加培训学习网络安全，0基础入门，从零开始授课，只需要四个月左右的时间就可以系统化的掌握网络安全所需技能。总而言之，网络安全学习起来并不难，但想要学好需要付出足够多的努力和时间。

‘伍’ 网络安全0基础可以学嘛

当然可以，只要有心、想学。
这里综合了几家用人单位需求， 总结出网络安全的必备技能：
（1） 基本素质
对这个行业还是有较高的热情，有一定的自学能力，有团队意识，能够服从领导安排；
（2） 基本技术要求
对Web常见十余种漏洞的原理、利用、防御等要求熟练掌握；
熟悉内网渗透的技术，能够做横向移动渗透；
熟练运用常见的工具，如AWVS，Appscan，Burp等；
熟悉至少一门语言，可以写POC或者EXP；
（3） 实战要求
一般要求有1-3年的经验要求；
有提交过SRC或者真实网站渗透经验优先；
有绕过WAF经验要求；
有些要求有逆向和二进制分析经验；
（4） 技术亮点
有参加CTF得奖者优先，有考取相关证书者优先，提交SRC者优先；
从以上用人单位需求来看，需要掌握常见web漏洞的原理、利用和防御、内网渗透，能够利用语言写POC、EXP；能够掌握常见WAF的绕过方法，最好有真实站点渗透测试的经验，考取行业内的相关证书，所有都是围绕要求有实战经验；
所以根据自身要求，可以先打好基础，多练习靶场，然后去对应平台进行真实演练，同时也考取行业内相关证书，如果有机会可以去一家安全公司实习；后续进入大点的安全公司应聘安全岗位都基本没什么问题。

‘陆’ 新手小白想学习渗透和网络安全，从哪里入手

基础到入门的学习路线
一、网络安全
网络基础
网络概述
（行业背景+就业方向+课程体系结构）
Vmware
IP地址的概述与应用
DOS命令与批处理
Windows服务安全
用户管理
破解系统用户密码
NTFS权限
文件服务器
DNS服务
DHCP服务
IIS服务
活动目录
域控管理
组策略（一）
组策略（二）
安全策略
PKI与证书服务
windows安全基线
Windows server 2003安全配置基线
阶段综合项目一
以太网交换与路由技术
回顾windows服务
OSI协议簇
交换机的基本原理与配置
IP包头分析与静态路由
分析ARP攻击与欺骗
虚拟局域网VLAN
VTP
单臂路由与DHCP
子网划分VLSM
高级网络技术
回顾
三层交换
ACL-1
ACL-2
网络地址转换
动态路由协议RIP
ipsec VPN
VPN远程访问
网络安全基线
Cisco基础网络设备安全配置基线
安全设备防护
防火墙原理及部署方式
防火墙高级配置
IDS
WAF
阶段综合项目二
二、服务安全
Linux安全运维
Linux操作系统介绍与安装与目录结构分析
Linux系统的基本操作与软件安装
Linux系统下用户以及权限管理
网络配置与日志服务器建立应急思路
建立php主页解析以及主页的访问控制
Nginx服务都建立以及tomcat负载均衡
iptables包过滤与网络地址转换
实用型脚本案例
阶段综合项目三
三、代码安全
前端代码安全
HTML语言
CSS盒子模型
JS概述与变量
JS数据类型
JS函数
程序的流程控制
条件判断与等值判断结构
循环结构
JS数组
数据库安全
sqlserver
access
oracle
mysql
后台代码安全
PHP基础
PHP语法
PHP流程控制与数组
PHP代码审计中常用函数
PHP操作mysql数据库
PHP代码审计（一）
PHP代码审计（二）
Python安全应用
初识python上篇
初识python下篇
基础进阶与对象和数字
字符串行表和元祖
字典条件循环和标准输入输出
错误异常函数基础
函数的高级应用和模块
面向对象编程与组合及派生
正则表达式和爬虫
socket套接字
四、渗透测试
渗透测试导论
渗透测试方法论
法律法规与道德
Web 工作机制
HTTP 协议
Cookie 与session
同源策略
情报收集
DNS
DNS 解析
IP 查询
主机测探与端口扫描
网络漏洞扫描
Web 漏洞扫描
其他工具
口令破解
口令安全威胁
破解方式
windows 口令破解
Linux 口令破解
网络服务口令破解
在线密码查询网站
常见的漏洞攻防
SQL 注入基础
四大基本手法
其他注入手法
SQLmap 的使用
XSS 漏洞概述
XSS 的分类
XSS的构造
XSS 的变形
Shellcode 的调用
XSS 通关挑战
实战：Session 劫持
PHP 代码执行
OS 命令执行
文件上传漏洞原理概述
WebShell 概述
文件上传漏洞的危害
常见的漏洞攻防
PUT 方法上传文件
.htaccess 攻击
图片木马的制作
upload-labs 上传挑战
Web容器解析漏洞
开源编辑器上传漏洞
开源CMS 上传漏洞
PHP 中的文件包含语句
文件包含示例
漏洞原理及特点
Null 字符问题
文件包含漏洞的利用
业务安全概述
业务安全测试流程
业务数据安全
密码找回安全
CSRF
SSRF
提权与后渗透
服务器提权技术
隧道技术
缓冲区溢出原理
Metasploit Framework
前言
urllib2
SQL 注入POC 到EXP
定制EXP
案例：Oracle Weblogic CVE2017-10271 RCE
案例：JBoss AS 6.X 反序列化
五、项目实战
漏洞复现
内网靶机实战
内网攻防对抗
安全服务规范
安全众测项目实战
外网渗透测试实战
六、安全素养
网络安全行业导论
网络安全岗位职责分析
网络安全法认知
网络安全认证
职业人素质

‘柒’ 网络安全自学能够学会嘛

不管是自学还是培训，都只是一种学习方法，并无拙劣之分，本质上还得看你自己是否愿意付出时间和精力。
不过对于零基础转行的人来说，选择培训是最快的入行的途径。

目前IT培训机构大多都是线下的集中面授学习，有浓厚的学习氛围和约束力，这点对于那些自律性差的学生还是比较重要的，好的培训机构的讲师一般都是在企业一线做过的，会跟进企业的需求进行系统的培训，培养培养你的编程思维，答疑解惑，让你少走弯路，培训是让你在短时间内掌握一门技能。
还有一点，就是学习是相对的，不可能完全指望着培训机构，在我看来学习是两个人的事儿，老师努力教，学生认真学，这就够了！个人在职业上能够走多远，最主要的是看自身的专业技能，学习能力，主观能动性等，培训机构是能提供一些便捷进入企业的机会。
蜗牛学苑，开设有Java全栈、Python测试开发，Web前端，UI设计，网络安全，提供免费试读一周，合同制保障就业，没就业退全款，不满意随时退，承诺最低转正后就业薪资。
无论是从课程内容，还是教学方式，就业保障等，我们都希望能够给学员足够好的教学，最诚信优质的服务。

‘捌’ 零基础,想做一名网络安全工程师,我可以去哪里学

建议网上搜罗一下培训机构找一家去学就好，这样能加快上手速度。

现在市场上的网络安全工程师培训机构也非常多，不管是成立许多年的，还是刚刚成立的，基本上在每个城市都能够找到很多家，但是我们要注意的是，既然机构这么多，那就肯定有好的有差的。

一般零基础做一名网络安全工程师大致会分为以下几个阶段的学习：

第一阶段：渗透基础

通过一阶段学习掌握渗透基础课程，如通信原理、协议保分析、流量分析，能架构安全、了解安全设备的策略和防护机制。

第二阶段：web渗透

通过该阶段的学习可以掌握web安全基础技术、渗透工具使用、OWASP TOP10漏洞挖掘及利用、Webshell编写及免杀、上传及绕过、WAF防护机制识别绕过、代码审计、渗透测试报告编写、代码审计报告编写。

第三阶段：主机渗透

通过该阶段的学习可以掌握系统漏洞挖掘、msf技术、提权技术、POWERSHELL技术、木马制作与免杀。

第四阶段：内网渗透

通过该阶段学习可以掌握内网渗透相关知识，诸如工作组/域攻击方法、协议攻击、明文/密码传递、权限提升、横向纵向、后门木马python渗透等技术。

第五阶段：安全服务

通过该阶段学习可掌握安全服务工程师相关技术，如等保、风险评估、应急响应、取证溯源等。

‘玖’ 网络安全适合零基础学习吗

当然可以，只要你有足够的兴趣和足够的毅力，学习网络安全是没有问题的，入门还是比较简单的