0基础如何学Web渗透，0基础到渗透测试工程师进阶之路_一个o小白到从事网络渗透

任何一个渗透测试工程师都是从小白一路磨炼出来的，网络安全涉及的知识点十分广，诸如：

系统安全
web安全
移动安全
无线安全等很多方向。

建议0基础的小白先从web安全入手，这是个相对来说比较好入门的领域。这对于初学小白来说相对比较友好，可以尽可能减少劝退率。

Web安全基础要如何开始呢？

一、系统的操作

例如
window系统
linux系统
kali系统等

二、数据库

主要针对web漏洞中的SQL
例如
MySQL数据库的基本操作

三、进行web安全渗透

web漏洞的原理一定要了解，web常见的漏洞有：

SQL注入
xss漏洞
ssrf
csrf
弱口令
文件上传
任意文件下载
逻辑漏洞等

还需了解：

owasp top 10漏洞的原理、利用手法、判别方法、了解防火墙绕过方法。
CDN技术
DNS技术
MVC框架
负载均衡技术
要了解主流服务器软件的特性漏洞
inux
目录爆破
URL编码
常见加密解密技术
后台爆破
子域名爆破
ssl等等

四、各种的搜索引擎的使用技巧：

Google、shodan、FOFA、zoomeye等搜索引擎的使用技巧来进行资产的收集，在做前期的渗透信息收集的时候，是非常重要的。

五、HTML5、css3、PHP

在进行学习web渗透之前呢，需要简单了解一下语言HTML5、css3、PHP ，这些语言对于了解web安全漏洞有很大的帮助的。

六、要掌握基本的几种黑客工具的使用

例如

AWVS
nmap
appscan
xray
burpsuite
Metasploit
sqlmap
浏览器代理
各种语言的小马大马
蚁剑等工具

七、对于一些网站的基础框架要有一定的了解

了解常见的网站框架

WP
DZ
TP
帝国
织梦
ecshop
structs等

八、Linux渗透进阶知识：

Linux下手动查杀木马过程

使用rootkit隐藏踪迹的审计方法，主要有

模拟木马程序病原体并让木马程序自动运行的代码审计
木马父进程实时监控木马的原理及防御方法
创建一个让root用户都删除不了的木马程序的原理及防御方法
深入讲解如何不让木马程序和外网数据主动通信
使用rootkit把木马程序的父进程和木马文件隐藏的审计方法
使用rkhunter Rootkit猎手来检查rootkit

Linux下的手工提权原理

劫持账号和密码审计及防御方法-Tripwire检查文件。

九、无线安全和一些免杀shell技巧的技术

以上web渗透相关知识点，简单介绍了应该学习的知识框架。当某一天，能将这些框架里的知识点都填补完整，那将会有一个脱胎换骨的改变。愿各位刚入门的小白们，早日突破自我，进阶技术大佬。

​最后

为了帮助大家更好的学习网络安全，小编给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂，所有资料共282G，朋友们如果有需要全套网络安全入门+进阶学习资源包，可以点击免费领取（如遇扫码问题，可以在评论区留言领取哦）~