【网络安全】零基础入门网络安全劝退指北

作为从16年接触网络安全的小白，谈谈零基础如何入门网络安全，有不对的地方，请多多指教。

这些年最后悔的事情莫过于没有把自己学习的东西积累下来形成一个知识体系。

后续我也会陆续的整理网络安全的相关学习资料及文章，与大家一起探讨学习。

1.如何入门

简单了解网络安全
网络安全就是指的确保网络系统中的数据不被别人破坏，而网安工程师就是涉及程序来维护网络安全。
网安方向有很多职位，比如安全产品工程师，安全分析师，数据恢复工程师，网络架构工程师，安全编程工程师，以及网络集成工程师等。
工作内容主要包括： 安全评测，风险评估，安全服务，防火墙，入侵检测，渗透测试，云防护，系统防护，代码审计等

2. 入门路线

了解电脑知识
这个够基础了吧，包括windwos基础，Linux基础，标记语言，代码js基础，网络基础，数据库及虚拟机使用等
可以简单的学会抓包，知道抓到的包在说什么。

入手web安全
web架构，web优化及安全防护，学点Python能看懂代码，网站开发也可以学习一些，这里的都是一些基础，不用太深入。

其次想要进入web安全领域，还要学会web渗透，OWASP top 10 等常见的web漏洞原理及利用方式，包括SQL注入，XSS攻击，webshell木马编写，提权，命令执行等。

熟悉基本的概念： SQL 注入，上传，XSS，CSRF，一句话木马等

推荐书籍《 精通脚本黑客》，很老的书了，而且也有一些错误，但是对于入门来说足够。

到这里你就算基本上入门了。

3.后续学习

攻防演练，等保测评，风险评估，这些都是在你入门后学习的。

熟悉渗透相关的工具：

AWVS ，sqlmap.Burp,nessus,chopper,namp,Appscan 等工具

具体教材可以在SecWiki上搜索。

广义上说，你作为一个网络安全师需要学习的内容如下：

通信协议：TCP、HTTP、HTTPs
操作系统：Linux、Windows
服务架设：Apache、Nginx、LAMP、LNMP、MVC
架构数据库：MySQL、SQL Server、Oracle
编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

但我们通常学习20%的核心内容来完成80%的工作，所以压缩一下：

安全理论：OWASP TOP 10 、PETS、ISO 27001
后端安全：SQL注入、文件上传、Webshell（木马）、文件包含、命令执
前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造…
安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火墙）、IDS/IPS（Web入侵防御）、Web主机防护

可以看一个招聘需求：

推荐：CTF

CTF有两点：

接近实战的机会。现在网络安全法很严格，不像之前大家能瞎搞
题目紧跟技术前沿，而书籍很多落后了。
如果你想打CTF比赛，直接去看赛题，赛题看不懂，根据不懂的地方接着去看资料。

4.书单推荐：

计算机操作系统：

编码：隐藏在计算机软硬件背后的语言
深入理解操作系统
深入理解windows操作系统
Linux内核与实现

编程开发类：

windows程序设计
windwos核心变成
Linux程序设计
unix环境高级变成
IOS变成
第一行代码Android
C程序语言设计
C primer plus
C和指针
C专家编程
C陷阱与缺陷
汇编语言（王爽）
java核心技术
java编程思想
Python核心编程
Linuxshell脚本攻略
算法导论
编译原理
编译与反编译技术实战
代码整洁之道
代码大全
TCP/IP详解
Rootkit ： 系统灰色地带的潜伏者
黑客攻防技术宝典
加密与解密
C++ 反汇编与逆向分析技术揭秘
web安全测试
白帽子讲web安全
精通脚本黑客
web 前端黑客技术揭秘
程序员的应用
英语写作手册：风格的要素

5.常见的网络安全及论坛

看雪论坛
安全课
安全牛
安全内参
绿盟
先知社区
XCTF联盟

6.总结

网络安全任重而道远，我自己自学安全已经四年有余，依然感觉不算入门，技术这东西，真的是越学越觉得自己不知道的越多。

最后我也整理了一些网络安全（黑客）方面的学习进阶资料

如果你想跟同道中人交流