网络安全究竟如何自学?看这一篇就够了！

到自学网络安全这一块，我来给大家分享一下我的经验。

一、了解相关网站
在入这行之前，我是先泡了一段时间网络安全相关的论坛，了解行业的信息，也可以确认自己是否真的想做这一行，毕竟这一行看起来很炫酷，其中的苦逼只有行内人自己知道。

福利：网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

如果你也想了解行业相关网站的话，可以看看下面这些：

1.1、FreeBuf

国内关注度最高的全球互联网安全媒体平台，爱好者们交流与分享安全技术的社区，网络安全行业门户。

1.2、看雪

看雪论坛是个软件安全技术交流场所，为安全技术爱好者提供一个技术交流平台和资源。

1.3、吾爱破解

吾爱破解论坛是致力于软件安全与病毒分析的非营利性技术论坛。

1.4、阿里云先知社区

一个开放型技术平台。

1.5、腾讯玄武安全实验室

各种CVE，漏洞。

1.6、SecWiki

安全维基，各种安全资讯。

二、搭建知识框架
磨刀不误砍柴工，在了解完行业相关信息之后，我们第二步就是要搭建自己的学习框架了，如果不搭建知识框架，盲目去学习的话，一来容易迷失方向，二来不确定自己要学到什么程度，容易出现事倍功半的情况。

搭建知识框架这一步比较好完成，因为我们既可以从网上检索前辈们的学习路线，也可以看看某些培训机构的课程大纲（不具体指明，免得有广告嫌疑），这都是不错的选择，比如下面这个：

2.1、了解黑客是如何工作的
在虚拟机配置Linux系统
漏洞测试工具
msf控制台
远程工具RATS
远程访问计算机
白帽
2.2、技术基础
漏斗扫描工具AWVS
AWVS简介 安装 站点扫描
扫码结果分析
Site crawler
HTTP Editor
Target finger
Authentication Teater
HTTP Sniffer
HTTP fuzzer
2.3、Web安全基础入门
ASP木马
数据库的安全风险
网站配置的安全风险
php木马
Php漏洞
Apache解析漏洞
入侵防范
Malego
添加链接和选择
管理Mangage选项卡
视图选项
增加实体（entities）
2.4、Web安全漏洞分析和防御
phpYun xml注入漏洞
weBid1.1.1文件上传漏洞
KPPW2.2任意文件下载漏洞
Phpcms 2008命令执行漏洞
CmsEasy 5.5代码执行漏洞
Akcms 6.0登录绕过漏洞
Aspcms2.2.9登录绕过漏洞
Dedecms5.7远程文案包含漏洞
2.5、渗透实战
渗透工具：sqlmap

什么是sqlmap
Sqlmap三种请求类型注入探测
获取数据库相关信息
获取数量和用户权限
Mysql数据库注入
管理自己的数据库
延时注入
交互式命令执行和写webshell
Tamper脚本的介绍和使用
本地写入webshell
批量检测注入漏洞
Sqlmap学习注入技术
太多了，手打累了，歇一会儿…

2.6、Kail渗透测试
1.虚拟节介绍及kail系统的安装

2.虚拟机配置及kail系统配置

3.windows过度到基本的Linux操作

4.玩转windows美化

5.局域网攻击

6.实战-获取内网之qq相册

7.综合应用之http账号密码获取

8.综合应用之https账号密码获取

9.会话劫持–登录别人的百度贴吧

10.会话劫持–一键劫持会话

11.sqlmap介绍及asp网络渗透

12.sqlmap介绍及php网络渗透

13.sqkmap之cookie注入

14.metasploit新手知识补全

15.metasploit之我的远程控制元件

16.metasploit木马文件操作功能

17.metasploit之木马系统操作功能

18.metasploit之木马的永操作及摄像头控制

19.metasploit之渗透安卓实战

20.metasploit服务器蓝屏攻击

21.metasploit之生成webshell及应用

算了算了，给大家贴个图吧，大家可以点击自行查看

→高清完整脑图点我

三、填充框架内容
在整理好自己的知识框架之后，下一步就是往框架里面填充内容了。

此时我们的选择也可以很多，比如CSDN，比如知乎，再比如B站，都有很多人在分享自己的学习资料，但我觉得这里存在的很大一个问题就是不连贯、不完善，大部分免费分享的教程，都是东一块西一块，前言不搭后语，学着学着就蒙了，这是我自学之后的亲身感受。

如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面有电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，留着也是占空间。

接下来详细说下学习内容

1，计算机基础

主要是学习一些专业名词，了解下计算机组成原理，比如硬件，软件之类的，了解计算机是如何运行的，对整个计算机行业有个大概的了解

2，计算机网络技术

这个比较重要，需要了解数据的传输过程，比如数据在每一层的形态，数据包的封装与解封装，数据是如何传输的，然后就是了解IP地址，MAC地址，路由协议等等。也就是主要了解数据传输过程和网络组成架构吧

3，操作系统

这个主要是了解一下各个操作系统，比如windows，linux，还有win server等。如果可以，也可以了解一下域的搭建，还有一些基础的计算机操作

4，HTML

这个是为了了解web架构，同时也可以自己写一个静态的网站，了解运行原理。

5，数据库

HTML是写静态网页的，不会有数据的交互。而数据库也是为了适配动态的，这个主要是为了后面尝试了解动态网站的架构打基础，了解数据库原理，同时也是为了后面的SQL注入漏洞打基础

6，语言

C语言是基础，学完C，就能对程序的运行有一个大概的了解，也能看得懂代码。php是因为很多老web页面是用php写的，为以后挖掘漏洞打基础，同时也可以了解网站的架构，学完php也可以尝试着自己写个动态网站并发布。剩下的python和java可以晚点学，这两个是为了加强技术水平的，python主要用于写脚本批量挖掘漏洞，java和php作用类似，现在web,中间件,组件框架大多是用java写的，所以得学

7，漏洞

上面学完以后，这个就是学姿势了，原理一点就通，文件上传，sql注入，命令执行，越权，文件包含，xss，csrf，ssrf，反序列化等等。这些会了，就可以尝试自己去挖些漏洞了，但基本上是挖不到的，哈哈哈，因为流程还没学会。

8，攻击流程

主要学习信息收集，挖洞会了，但是找洞更重要，学找薄弱点，再来挖掘，就很容易能挖到洞了，挖之前先学习下网络安全法，了解下哪些行为违法。挖完提交到一些漏洞平台，比如补天src，edusrc等等

再剩下的就都是经验积累了。其实1到5学习起来也很快，都只需要了解个大概就行了，主要是为了对这些东西有一个大概的了解，2，3个月就差不多了，剩下的语言3个月吧，半个月C，一个半月php，然后就是漏洞，一个月。再到常规的自主挖洞提交漏洞，加起来差不多就8个月左右

当然，速度这玩意儿也是因人而异！

干货主要有：

①1000+CTF历届题库（主流和经典的应该都有了）

②CTF技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2022密码学/隐身术/PWN技术手册大全

扫码领取