关于入门学习渗透的路线

少年我看你骨骼惊奇，我这有一本萌新入坑指南就赠与给你吧《葵花宝典》

看完入坑指南，进入正题，渗透测试主要从三个方法来学习：漏洞原理、代码、实战

建议学一学php，python，php用来审计跟搭建靶场深入理解漏洞原理，python用来写一些安全类的小工具。效果极佳

计算机基础就不谈了，那些是肯定要会的。直接说渗透测试吧。

1、有哪些漏洞需要了解？
SQL注入、XSS、上传、csrf、xsrf、ssrf、crlf、xxe、url跳转、任意文件下载（读取）、弱口令、暴库、信息泄露、
域传送、跨域（cors、jsonp、crossdomain）、反序列化、远程命令执行、拒绝服务、配置错误等等
逻辑：任意用户注册（登录、密码重置），支付漏洞，劫持，参数污染，条件竞争等等
cms漏洞：phpcms，dedecms，discuz、drupal、wordpress、spring、struts2、jboss、weblogic、joomla、jenkins等等
端口漏洞：elasticsearch、samba、redis、mongodb、zookeeper、memcache、hadoop、couchdb、ldap、rsync等等
FUZZ字典（CRLF、jsonp、ua、url、xss、xxe、rce、dir、upload、sql、name、password）等等
这些常见的漏洞不仅要知其然，还要知其所以然。漏洞是如何产生的，如何利用以及如何修复。
2、学习地址？
各种漏洞 http://wiki.chamd5.org/
https://github.com/JnuSimba/MiscSecNotes
web漏洞总结 https://github.com/CHYbeta/Web-Security-Learning
乌云镜像 http://www.anquan.us/
cms漏洞 https://github.com/Lucifer1993/AngelSword
国外漏洞 https://pentester.land/list-of-bug-bounty-writeups.html#bug-bounty-writeups-published-in-2019

3、靶场
靶场： http://www.freebuf.com/sectool/4708.html
漏洞靶场，docker搭建，有些靶场内附py文件 https://github.com/vulhub/vulhub
https://github.com/Medicean/V

4、建议经常浏览一些安全社区，比如freebuf，安全脉搏，tools，圈子社区。了解一些最新的漏洞以及大佬们的一些思路。做大于想，想到什么就去做什么，实践才是检验真理的唯一标准，才能提升自己。实际环境跟靶场环境差异还是很大的。