今天來(lái)分享一下本人自學(xué)網(wǎng)絡(luò)安全的一些經(jīng)驗(yàn)

一、自學(xué)網(wǎng)絡(luò)安全學(xué)習(xí)的誤區(qū)和陷阱

1.不要試圖先成為一名程序員（以編程為基礎(chǔ)的學(xué)習(xí)）再開(kāi)始學(xué)習(xí)

我在之前的回答中，我都一再?gòu)?qiáng)調(diào)不要以編程為基礎(chǔ)再開(kāi)始學(xué)習(xí)網(wǎng)絡(luò)安全，一般來(lái)說(shuō)，學(xué)習(xí)編程不但學(xué)習(xí)周期長(zhǎng)，而且實(shí)際向安全過(guò)渡后可用到的關(guān)鍵知識(shí)并不多

一般人如果想要把編程學(xué)好再開(kāi)始學(xué)習(xí)網(wǎng)絡(luò)安全往往需要花費(fèi)很長(zhǎng)時(shí)間，容易半途而廢。而且學(xué)習(xí)編程只是工具不是目的，我們的目標(biāo)不是成為程序員。建議在學(xué)習(xí)網(wǎng)絡(luò)安全的過(guò)程中，哪里不會(huì)補(bǔ)哪里，這樣更有目的性且耗時(shí)更少

2.不要把深度學(xué)習(xí)作為入門(mén)第一課

很多人都是沖著要把網(wǎng)絡(luò)安全學(xué)好學(xué)扎實(shí)來(lái)的，于是就很容易用力過(guò)猛，陷入一個(gè)誤區(qū)：就是把所有的內(nèi)容都要進(jìn)行深度學(xué)習(xí)，但是把深度學(xué)習(xí)作為網(wǎng)絡(luò)安全第一課不是個(gè)好主意。原因如下：

【1】深度學(xué)習(xí)的黑箱性更加明顯，很容易學(xué)的囫圇吞棗

【2】深度學(xué)習(xí)對(duì)自身要求高，不適合自學(xué)，很容易走進(jìn)死胡同

3.不要收集過(guò)多的資料

網(wǎng)上有很多關(guān)于網(wǎng)絡(luò)安全的學(xué)習(xí)資料，動(dòng)輒就有幾個(gè)G的材料可以下載或者觀看。而很多朋友都有“收集癖”，一下子購(gòu)買(mǎi)十幾本書(shū)，或者收藏幾十個(gè)視頻

網(wǎng)上的學(xué)習(xí)資料很多重復(fù)性都極高而且大多數(shù)的內(nèi)容都還是幾年前沒(méi)有更新。在入門(mén)期間建議“小而精”的選擇材料，下面我會(huì)推薦一些自認(rèn)為對(duì)小白還不錯(cuò)的學(xué)習(xí)資源，耐心往下看

二、學(xué)習(xí)網(wǎng)絡(luò)安全的一些前期準(zhǔn)備

1.硬件選擇

經(jīng)常會(huì)問(wèn)我“學(xué)習(xí)網(wǎng)絡(luò)安全需要配置很高的電腦嗎？”答案是否定的，黑客用的電腦,不需要什么高的配置,只要穩(wěn)定就行.因?yàn)楹诳退褂玫囊恍┏绦?低端CPU也可以很好的運(yùn)行,而且不占什么內(nèi)存.還有一個(gè),黑客是在DOS命令下對(duì)進(jìn)行的,所以電腦能使用到最佳狀態(tài)!所以，不要打著學(xué)習(xí)的名義重新購(gòu)買(mǎi)機(jī)器...

2.軟件選擇

很多人會(huì)糾結(jié)學(xué)習(xí)黑客到底是用Linux還是Windows或者是Mac系統(tǒng)，Linux雖然看著很酷炫，但是對(duì)于新人入門(mén)并不友好。Windows系統(tǒng)一樣可以用虛擬機(jī)裝靶機(jī)來(lái)進(jìn)行學(xué)習(xí)

至于編程語(yǔ)言，首推Python，因?yàn)槠淞己玫耐卣怪С中浴．?dāng)然現(xiàn)在市面上很多網(wǎng)站都是PHP的開(kāi)發(fā)的，所以選擇PHP也是可以的。其他語(yǔ)言還包括C++、Java...

很多朋友會(huì)問(wèn)是不是要學(xué)習(xí)所有的語(yǔ)言呢？答案是否定的！引用我上面的一句話：學(xué)習(xí)編程只是工具不是目的，我們的目標(biāo)不是成為程序員

（這里額外提一句，學(xué)習(xí)編程雖然不能帶你入門(mén)，但是卻能決定你能在網(wǎng)絡(luò)安全這條路上到底能走多遠(yuǎn)，所以推薦大家自學(xué)一些基礎(chǔ)編程的知識(shí)）

3.語(yǔ)言能力

我們知道計(jì)算機(jī)最早是在西方發(fā)明出來(lái)的，很多名詞或者代碼都是英文的，甚至現(xiàn)有的一些教程最初也是英文原版翻譯過(guò)來(lái)的，而且一個(gè)漏洞被發(fā)現(xiàn)到翻譯成中文一般需要一個(gè)星期的時(shí)間，在這個(gè)時(shí)間差上漏洞可能都修補(bǔ)了。而且如果不理解一些專(zhuān)業(yè)名詞，在與其他黑客交流技術(shù)或者經(jīng)驗(yàn)時(shí)也會(huì)有障礙，所以需要一定量的英文和黑客專(zhuān)業(yè)名詞（不需要特別精通，但是要能看懂基礎(chǔ)的）

比如說(shuō)：肉雞、掛馬、shell、WebShell等等

三、網(wǎng)絡(luò)安全學(xué)習(xí)路線

第一階段：基礎(chǔ)操作入門(mén)，學(xué)習(xí)基礎(chǔ)知識(shí)

入門(mén)的第一步是學(xué)習(xí)一些當(dāng)下主流的安全工具課程并配套基礎(chǔ)原理的書(shū)籍，一般來(lái)說(shuō)這個(gè)過(guò)程在1個(gè)月左右比較合適。

在這個(gè)階段，你已經(jīng)對(duì)網(wǎng)絡(luò)安全有了基本的了解。如果你學(xué)完了第一步，相信你已經(jīng)在理論上明白了上面是sql注入，什么是xss攻擊，對(duì)burp、msf、cs等安全工具也掌握了基礎(chǔ)操作。這個(gè)時(shí)候最重要的就是開(kāi)始打地基！

所謂的“打地基”其實(shí)就是系統(tǒng)化的學(xué)習(xí)計(jì)算機(jī)基礎(chǔ)知識(shí)。而想要學(xué)習(xí)好網(wǎng)絡(luò)安全，首先要具備5個(gè)基礎(chǔ)知識(shí)模塊：

1.操作系統(tǒng)

2.協(xié)議/網(wǎng)絡(luò)

3.數(shù)據(jù)庫(kù)

4.開(kāi)發(fā)語(yǔ)言

5.常見(jiàn)漏洞原理

學(xué)習(xí)這些基礎(chǔ)知識(shí)有什么用呢？

計(jì)算機(jī)各領(lǐng)域的知識(shí)水平?jīng)Q定你滲透水平的上限。

【1】比如：你編程水平高，那你在代碼審計(jì)的時(shí)候就會(huì)比別人強(qiáng)，寫(xiě)出的漏洞利用工具就會(huì)比別人的好用；

【2】比如：你數(shù)據(jù)庫(kù)知識(shí)水平高，那你在進(jìn)行SQL注入攻擊的時(shí)候，你就可以寫(xiě)出更多更好的SQL注入語(yǔ)句，能繞過(guò)別人繞不過(guò)的WAF；

【3】比如：你網(wǎng)絡(luò)水平高，那你在內(nèi)網(wǎng)滲透的時(shí)候就可以比別人更容易了解目標(biāo)的網(wǎng)絡(luò)架構(gòu)，拿到一張網(wǎng)絡(luò)拓?fù)渚湍茏约涸谀膫€(gè)部位，拿到以一個(gè)路由器的配置文件，就知道人家做了哪些路由；

【4】再比如你操作系統(tǒng)玩的好，你提權(quán)就更加強(qiáng)，你的信息收集效率就會(huì)更加高，你就可以高效篩選出想要得到的信息

第二階段：實(shí)戰(zhàn)操作

1.挖SRC

挖SRC的目的主要是講技能落在實(shí)處，學(xué)習(xí)網(wǎng)絡(luò)安全最大的幻覺(jué)就是覺(jué)得自己什么都懂了，但是到了真的挖漏洞的時(shí)候卻一籌莫展，而SRC是一個(gè)非常好的技能應(yīng)用機(jī)會(huì)。

2.從技術(shù)分享帖（漏洞挖掘類(lèi)型）學(xué)習(xí)

觀看學(xué)習(xí)近十年所有0day挖掘的帖，然后搭建環(huán)境，去復(fù)現(xiàn)漏洞，去思考學(xué)習(xí)筆者的挖洞思維，培養(yǎng)自己的滲透思維

3.靶場(chǎng)練習(xí)

自己搭建靶場(chǎng)或者去免費(fèi)的靶場(chǎng)網(wǎng)站練習(xí)，有條件的話可以去購(gòu)買(mǎi)或者報(bào)靠譜的培訓(xùn)機(jī)構(gòu)，一般就有配套的靶場(chǎng)練習(xí)

第三階段：參加CTF比賽或者HVV行動(dòng)

推薦：CTF比賽

CTF有三點(diǎn)：

【1】接近實(shí)戰(zhàn)的機(jī)會(huì)?，F(xiàn)在網(wǎng)絡(luò)安全法很?chē)?yán)格，不像之前大家能瞎搞

【2】題目緊跟技術(shù)前沿，而書(shū)籍很多落后了

【3】如果是大學(xué)生的話，以后對(duì)找工作也很有幫助

如果你想打CTF比賽，直接去看賽題，賽題看不懂，根據(jù)不懂的地方接著去看資料

推薦：HVV（護(hù)網(wǎng)）

HVV有四點(diǎn)：

【1】也能極大的鍛煉你，提高自身的技術(shù)，最好是參加每年舉行的HVV行動(dòng)

【2】能認(rèn)識(shí)許多圈內(nèi)的大佬，擴(kuò)大你的人脈

【3】HVV的工資也很高，所以參加的話也能讓你賺到不少錢(qián)

【4】和CTF比賽一樣如果是大學(xué)生的話，以后對(duì)找工作也很有幫助

四、學(xué)習(xí)資料的推薦

書(shū)單推薦：

計(jì)算機(jī)操作系統(tǒng)：

【1】編碼：隱藏在計(jì)算機(jī)軟硬件背后的語(yǔ)言

【2】深入理解操作系統(tǒng)

【3】深入理解windows操作系統(tǒng)

【4】Linux內(nèi)核與實(shí)現(xiàn)

編程開(kāi)發(fā)類(lèi)：

【1】 windows程序設(shè)計(jì)

【2】windwos核心變成

【3】Linux程序設(shè)計(jì)

【4】unix環(huán)境高級(jí)變成

【5】IOS變成

【6】第一行代碼Android

【7】C程序語(yǔ)言設(shè)計(jì)

【8】C primer plus

【9】C和指針

【10】C專(zhuān)家編程

【11】C陷阱與缺陷

【12】匯編語(yǔ)言（王爽）

【13】java核心技術(shù)

【14】java編程思想

【15】Python核心編程

【16】Linuxshell腳本攻略

【17】算法導(dǎo)論

【18】編譯原理

【19】編譯與反編譯技術(shù)實(shí)戰(zhàn)

【20】代碼整潔之道

【21】代碼大全

【22】TCP/IP詳解

【23】Rootkit ： 系統(tǒng)灰色地帶的潛伏者

【24】黑客攻防技術(shù)寶典

【25】加密與解密

【26】C++ 反匯編與逆向分析技術(shù)揭秘

【27】web安全測(cè)試

【28】白帽子講web安全

【29】精通腳本黑客

【30】web 前端黑客技術(shù)揭秘

【31】程序員的應(yīng)用

【32】英語(yǔ)寫(xiě)作手冊(cè)：風(fēng)格的要素

常見(jiàn)的網(wǎng)絡(luò)安全及論壇

• ? ? 看雪論壇

• ? ? 安全課

• ? ? 安全牛

• ? ? 安全內(nèi)參

• ? ? 綠盟

• ? ? 先知社區(qū)

• ? ? XCTF聯(lián)盟

我下面也給大家整理了一些網(wǎng)絡(luò)安全的資料，大家不想一個(gè)一個(gè)去找的話，可以參考一下這些資料視頻教程

SRC&黑客技術(shù)文檔

有需要的小伙伴可以評(píng)論區(qū)留言【需要】領(lǐng)取