一、自學(xué)網(wǎng)絡(luò)安全學(xué)習(xí)的誤區(qū)和陷阱

1.不要試圖先成為一名程序員（以編程為基礎(chǔ)的學(xué)習(xí)）再開始學(xué)習(xí)

行為：從編程開始掌握，前端后端、通信協(xié)議、什么都學(xué)。

缺點：花費時間太長、實際向安全過渡后可用到的關(guān)鍵知識并不多。

很多安全函數(shù)知識甚至名詞都不了解 unserialize outfile

2.不要把深度學(xué)習(xí)作為入門第一課

很多人都是沖著要把網(wǎng)絡(luò)安全學(xué)好學(xué)扎實來的，于是就很容易用力過猛，陷入一個誤區(qū)：就是把所有的內(nèi)容都要進(jìn)行深度學(xué)習(xí)，但是把深度學(xué)習(xí)作為網(wǎng)絡(luò)安全第一課不是個好主意。原因如下：

【1】深度學(xué)習(xí)的黑箱性更加明顯，很容易學(xué)的囫圇吞棗

【2】深度學(xué)習(xí)對自身要求高，不適合自學(xué)，很容易走進(jìn)死胡同

3.以黑客技能、興趣為方向的自學(xué)誤區(qū)：

行為：瘋狂搜索安全教程、加入各種小圈子，逢資源就下，逢視頻就看，只要是黑客相關(guān)的。

缺點： 就算在考慮資源質(zhì)量后的情況下，能學(xué)習(xí)到的知識點也非常分散，重復(fù)性極強(qiáng)。

代碼看不懂、講解聽不明白，一知半解的情況時而發(fā)生。

在花費大量時間明白后，才發(fā)現(xiàn)這個視頻講的內(nèi)容其實和自己看的其他知識點是一樣的。

4.不要收集過多的資料

網(wǎng)上有很多關(guān)于網(wǎng)絡(luò)安全的學(xué)習(xí)資料，動輒就有幾個G的材料可以下載或者觀看。而很多朋友都有“收集癖”，一下子購買十幾本書，或者收藏幾十個視頻

網(wǎng)上的學(xué)習(xí)資料很多重復(fù)性都極高而且大多數(shù)的內(nèi)容都還是幾年前沒有更新。在入門期間建議“小而精”的選擇材料，下面我會推薦一些自認(rèn)為對小白還不錯的學(xué)習(xí)資源，耐心往下看

二、學(xué)習(xí)網(wǎng)絡(luò)安全的一些前期準(zhǔn)備

1.硬件選擇

經(jīng)常會問我“學(xué)習(xí)網(wǎng)絡(luò)安全需要配置很高的電腦嗎？”答案是否定的，黑客用的電腦,不需要什么高的配置,只要穩(wěn)定就行.因為黑客所使用的一些程序,低端CPU也可以很好的運行,而且不占什么內(nèi)存.還有一個,黑客是在DOS命令下對進(jìn)行的,所以電腦能使用到最佳狀態(tài)!所以，不要打著學(xué)習(xí)的名義重新購買機(jī)器...

2.軟件選擇

很多人會糾結(jié)學(xué)習(xí)黑客到底是用Linux還是Windows或者是Mac系統(tǒng)，Linux雖然看著很酷炫，但是對于新人入門并不友好。Windows系統(tǒng)一樣可以用虛擬機(jī)裝靶機(jī)來進(jìn)行學(xué)習(xí)

至于編程語言，首推Python，因為其良好的拓展支持性。當(dāng)然現(xiàn)在市面上很多網(wǎng)站都是PHP的開發(fā)的，所以選擇PHP也是可以的。其他語言還包括C++、Java...

很多朋友會問是不是要學(xué)習(xí)所有的語言呢？答案是否定的！引用我上面的一句話：學(xué)習(xí)編程只是工具不是目的，我們的目標(biāo)不是成為程序員

（這里額外提一句，學(xué)習(xí)編程雖然不能帶你入門，但是卻能決定你能在網(wǎng)絡(luò)安全這條路上到底能走多遠(yuǎn)，所以推薦大家自學(xué)一些基礎(chǔ)編程的知識）

3.語言能力

我們知道計算機(jī)最早是在西方發(fā)明出來的，很多名詞或者代碼都是英文的，甚至現(xiàn)有的一些教程最初也是英文原版翻譯過來的，而且一個漏洞被發(fā)現(xiàn)到翻譯成中文一般需要一個星期的時間，在這個時間差上漏洞可能都修補了。而且如果不理解一些專業(yè)名詞，在與其他黑客交流技術(shù)或者經(jīng)驗時也會有障礙，所以需要一定量的英文和黑客專業(yè)名詞（不需要特別精通，但是要能看懂基礎(chǔ)的）

比如說：肉雞、掛馬、shell、WebShell等等

三、網(wǎng)絡(luò)安全學(xué)習(xí)路線

第一階段：基礎(chǔ)操作入門，學(xué)習(xí)基礎(chǔ)知識

入門的第一步是學(xué)習(xí)一些當(dāng)下主流的安全工具課程并配套基礎(chǔ)原理的書籍，一般來說這個過程在1個月左右比較合適。

在這個階段，你已經(jīng)對網(wǎng)絡(luò)安全有了基本的了解。如果你學(xué)完了第一步，相信你已經(jīng)在理論上明白了上面是sql注入，什么是xss攻擊，對burp、msf、cs等安全工具也掌握了基礎(chǔ)操作。這個時候最重要的就是開始打地基！

所謂的“打地基”其實就是系統(tǒng)化的學(xué)習(xí)計算機(jī)基礎(chǔ)知識。而想要學(xué)習(xí)好網(wǎng)絡(luò)安全，首先要具備5個基礎(chǔ)知識模塊：

1.操作系統(tǒng)

2.協(xié)議/網(wǎng)絡(luò)

3.數(shù)據(jù)庫

4.開發(fā)語言

5.常見漏洞原理

學(xué)習(xí)這些基礎(chǔ)知識有什么用呢？

計算機(jī)各領(lǐng)域的知識水平?jīng)Q定你滲透水平的上限。

【1】比如：你編程水平高，那你在代碼審計的時候就會比別人強(qiáng)，寫出的漏洞利用工具就會比別人的好用；

【2】比如：你數(shù)據(jù)庫知識水平高，那你在進(jìn)行SQL注入攻擊的時候，你就可以寫出更多更好的SQL注入語句，能繞過別人繞不過的WAF；

【3】比如：你網(wǎng)絡(luò)水平高，那你在內(nèi)網(wǎng)滲透的時候就可以比別人更容易了解目標(biāo)的網(wǎng)絡(luò)架構(gòu)，拿到一張網(wǎng)絡(luò)拓?fù)渚湍茏约涸谀膫€部位，拿到以一個路由器的配置文件，就知道人家做了哪些路由；

【4】再比如你操作系統(tǒng)玩的好，你提權(quán)就更加強(qiáng)，你的信息收集效率就會更加高，你就可以高效篩選出想要得到的信息

第二階段：實戰(zhàn)操作

1.挖SRC

挖SRC的目的主要是講技能落在實處，學(xué)習(xí)網(wǎng)絡(luò)安全最大的幻覺就是覺得自己什么都懂了，但是到了真的挖漏洞的時候卻一籌莫展，而SRC是一個非常好的技能應(yīng)用機(jī)會。

2.從技術(shù)分享帖（漏洞挖掘類型）學(xué)習(xí)

觀看學(xué)習(xí)近十年所有0day挖掘的帖，然后搭建環(huán)境，去復(fù)現(xiàn)漏洞，去思考學(xué)習(xí)筆者的挖洞思維，培養(yǎng)自己的滲透思維

3.靶場練習(xí)

自己搭建靶場或者去免費的靶場網(wǎng)站練習(xí)，有條件的話可以去購買或者報靠譜的培訓(xùn)機(jī)構(gòu)，一般就有配套的靶場練習(xí)

第三階段：參加CTF比賽或者HVV行動

推薦：CTF比賽

CTF有三點：

【1】接近實戰(zhàn)的機(jī)會?，F(xiàn)在網(wǎng)絡(luò)安全法很嚴(yán)格，不像之前大家能瞎搞

【2】題目緊跟技術(shù)前沿，而書籍很多落后了

【3】如果是大學(xué)生的話，以后對找工作也很有幫助

如果你想打CTF比賽，直接去看賽題，賽題看不懂，根據(jù)不懂的地方接著去看資料

推薦：HVV（護(hù)網(wǎng)）

HVV有四點：

【1】也能極大的鍛煉你，提高自身的技術(shù)，最好是參加每年舉行的HVV行動

【2】能認(rèn)識許多圈內(nèi)的大佬，擴(kuò)大你的人脈

【3】HVV的工資也很高，所以參加的話也能讓你賺到不少錢

【4】和CTF比賽一樣如果是大學(xué)生的話，以后對找工作也很有幫助

四、學(xué)習(xí)資料的推薦

書單推薦：

計算機(jī)操作系統(tǒng)：

【1】編碼：隱藏在計算機(jī)軟硬件背后的語言

【2】深入理解操作系統(tǒng)

【3】深入理解windows操作系統(tǒng)

【4】Linux內(nèi)核與實現(xiàn)

編程開發(fā)類：

【1】 windows程序設(shè)計

【2】windwos核心變成

【3】Linux程序設(shè)計

【4】unix環(huán)境高級變成

【5】IOS變成

【6】第一行代碼Android

【7】C程序語言設(shè)計

【8】C primer plus

【9】C和指針

【10】C專家編程

【11】C陷阱與缺陷

【12】匯編語言（王爽）

【13】java核心技術(shù)

【14】java編程思想

【15】Python核心編程

【16】Linuxshell腳本攻略

【17】算法導(dǎo)論

【18】編譯原理

【19】編譯與反編譯技術(shù)實戰(zhàn)

【20】代碼整潔之道

【21】代碼大全

【22】TCP/IP詳解

【23】Rootkit ： 系統(tǒng)灰色地帶的潛伏者

【24】黑客攻防技術(shù)寶典

【25】加密與解密

【26】C++ 反匯編與逆向分析技術(shù)揭秘

【27】web安全測試

【28】白帽子講web安全

【29】精通腳本黑客

【30】web 前端黑客技術(shù)揭秘

【31】程序員的應(yīng)用

【32】英語寫作手冊：風(fēng)格的要素

常見的網(wǎng)絡(luò)安全及論壇

? ? 看雪論壇

? ? 安全課

? ? 安全牛

? ? 安全內(nèi)參

? ? 綠盟

? ? 先知社區(qū)

? ? XCTF聯(lián)盟

我下面也給大家整理了一些網(wǎng)絡(luò)安全的資料，大家不想一個一個去找的話，可以參考一下這些資料哈

視頻教程

SRC&黑客技術(shù)文檔

已經(jīng)整理好了

結(jié)語

網(wǎng)絡(luò)安全產(chǎn)業(yè)就像一個江湖，各色人等聚集。相對于歐美國家基礎(chǔ)扎實（懂加密、會防護(hù)、能挖洞、擅工程）的眾多名門正派，我國的人才更多的屬于旁門左道（很多白帽子可能會不服氣），因此在未來的人才培養(yǎng)和建設(shè)上，需要調(diào)整結(jié)構(gòu)，鼓勵更多的人去做“正向”的、結(jié)合“業(yè)務(wù)”與“數(shù)據(jù)”、“自動化”的“體系、建設(shè)”，才能解人才之渴，真正的為社會全面互聯(lián)網(wǎng)化提供安全保障。

特別聲明：

此教程為純技術(shù)分享！本教程的目的決不是為那些懷有不良動機(jī)的人提供及技術(shù)支持！也不承擔(dān)因為技術(shù)被濫用所產(chǎn)生的連帶責(zé)任！本教程的目的在于最大限度地喚醒大家對網(wǎng)絡(luò)安全的重視，并采取相應(yīng)的安全措施，從而減少由網(wǎng)絡(luò)安全而帶來的經(jīng)濟(jì)損失。