网络安全入门学习路径指南

网络安全入门通常分为四个阶段：基础操作、基础知识、实战操作以及比赛与行动。

第一阶段：基础操作

入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍，一般来说这个过程在 1 个月左右比较合适。

第二阶段：学习基础知识

在这个阶段，你已经对网络安全有了基本的了解。如果你学完了第一步，相信你已经在理论上明白了什么是 SQL 注入，什么是 XSS 攻击，对 Burp、MSF、CS 等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基！

所谓的'打地基'其实就是系统化的学习计算机基础知识。而想要学习好网络安全，首先要具备 5 个基础知识模块：

1. 操作系统
2. 协议/网络
3. 数据库
4. 开发语言
5. 常见漏洞原理

学习这些基础知识有什么用呢？计算机各领域的知识水平决定你渗透水平的上限。

1. 编程水平高，代码审计和漏洞利用工具编写能力更强；
2. 数据库知识水平高，SQL 注入攻击时可绕过更多 WAF；
3. 网络水平高，内网渗透时更容易理解目标架构；
4. 操作系统熟练，提权和信息收集效率更高。

第三阶段：实战操作

1. 挖 SRC 挖 SRC 的目的是将技能落在实处。学习网络安全最大的幻觉就是觉得自己什么都懂了，但是到了真的挖漏洞的时候却一筹莫展，而 SRC 是一个非常好的技能应用机会。
2. 从技术分享帖学习 观看学习近十年所有 0day 挖掘的帖，然后搭建环境，去复现漏洞，去思考学习笔者的挖洞思维，培养自己的渗透思维。
3. 观看视频 观看一些有用的视频对你的实战和提升技术有帮助。
4. 靶场练习 自己搭建靶场或者去免费的靶场网站练习，有条件的话可以去购买或者报靠谱的培训机构，一般就有配套的靶场练习。

第四阶段：参加 CTF 比赛或者 HVV 行动

CTF 的优势：

1. 接近实战的机会。现在网络安全法很严格，不像之前大家能瞎搞；
2. 题目紧跟技术前沿，而书籍很多落后了；
3. 如果是大学生的话，以后对找工作也很有帮助。

如果你想打 CTF 比赛，直接去看赛题，赛题看不懂，根据不懂的地方接着去看资料。

HVV 的优势：

1. 也能极大的锻炼你，提高自身的技术，最好是参加每年举行的 HVV 行动；
2. 能认识许多圈内的大佬，扩大你的人脉；
3. HVV 的工资也很高，所以参加的话也能让你赚到不少钱；
4. 和 CTF 比赛一样如果是大学生的话，以后对找工作也很有帮助。

相关网站推荐

1. FreeBuf：国内关注度最高的全球互联网安全媒体平台，爱好者们交流与分享安全技术的社区，网络安全行业门户。
2. 看雪：看雪论坛是个软件安全技术交流场所，为安全技术爱好者提供一个技术交流平台和资源。
3. 吾爱破解：吾爱破解论坛是致力于软件安全与病毒分析的非营利性技术论坛。
4. 阿里云先知社区：一个开放型技术平台。
5. 腾讯玄武安全实验室：各种 CVE 漏洞。

推荐书籍入门

《白帽子讲 Web 安全》2012 《Web 安全深度剖析》2015 《Web 安全攻防 渗透测试实战指南》2018 进阶 《WEB 之困 - 现代 WEB 应用安全指南》2013 《内网安全攻防渗透测试安全指南》2020 《Metasploit 渗透测试魔鬼训练营》2013 《SQL 注入攻击与防御》2010 《黑客攻防技术宝典 -Web 实战篇（第 2 版）》 《日志管理与分析权威指南》 《kali Linux 高级渗透测试》 《黑客社会工程学攻防演练》 《XSS 跨站脚本攻击剖析与防御》 《黑客攻防实战之入门到精通》

结语

网络安全学习是一个持续积累的过程，建议结合理论与实践，保持好奇心和技术热情，不断跟进最新的安全动态。