前言

滲透測試人才是現(xiàn)如今很多企業(yè)都需求人才，該人才能夠保證自己企業(yè)的官網在運作的過程中不被惡意襲擊，避免漏洞出現(xiàn)，減少信息丟失的可能；需求缺口極大，所以有著越來越多的人準備學習滲透測試技術，為了自己在之后就業(yè)的時候能夠更好的找到自己的工作，但是在滲透測試的學習中，有著四大學習誤區(qū)，要是中招了，就全都白學了。

一、網絡安全學習的誤區(qū)

1.軟件錯誤認知

第一個誤區(qū)就是對軟件錯誤認知，并不是說學習了一個軟件的基本使用流程就能夠徹底的掌握滲透測試，并不是這樣的，只學會一條程序運行的流程能夠解決的問題非常有限；網絡滲透和網絡滲透的情況幾乎是隨時隨地都在變化的，要想要靠著一個運行流程的程序就能夠搞定所有的滲透情況和漏洞，那只能說，太天真了。

2死學無用

第二個誤區(qū)就是我只要死學，就一定能夠成才；要是抱有這樣想法的人，入門滲透測試是一件非常困難的事情，滲透測試需要的是很高的靈活性，要是靈活性不夠高，只懂得學習書本上知識的話，是很難真正學會滲透測試的；可能遇到一個熟悉的問題，能夠在極短的時間里就完成解決，但是要是遇到一個全新的，沒有見過的問題，那有很大的可能，就是傻傻的坐在電腦前，不知道怎么辦。

3.理論知識至上

第三個誤區(qū)就是理論知識至上，在很多人的觀念中認為，只要自己學會了理論知識就能夠徹底的掌握滲透測試，只要學習會了理論知識，那些實際操作就能夠手到擒來；但是事實上是，要是只學習理論知識，不結合實踐的話，再怎么樣學習都是沒有效果的，因為到了真正應用的時候，可能會亂的一塌糊涂。

4.自學滲透知識

最后一個誤區(qū)就是我可以自學滲透測試，是，滲透測試是能夠自學，但是還是和以上情況同樣的問題，自己進行學習的時候是能夠學到不少，但是滲透和漏洞是會不斷更新的，在書上自學能夠學到的只有理論知識，要是遇到了一個全新的情況，怎么樣入手去解決，怎么樣去分析問題的原因是自學無法學會的。

2023.7最新500G《黑客&網絡安全入門&進階學習資源包》分享

5.及時止損

學習滲透測試并不像是很多人想的那么簡單，什么我只要掌握了一門編程語言之后，就能夠很好的掌握滲透測試；不是的，正是因為很多抱著這樣的想法，就全部進入了誤區(qū)里，就是我能行，我自學，我靠著理論就行；但是現(xiàn)實是，只有這些理論知識的人是沒有辦法成才的，所以，在發(fā)現(xiàn)自己進入誤區(qū)之后，請及時的走出來，不要越陷越深。

6.報班學習

很多人覺得報班就是浪費錢財，覺得自己自學就很好了，但其實自學也是需要一定的天賦和理解能力，且自學的周期較長，一些急躁的學習者或者急于找到工作的學習者，還是報班學的比較輕松，學習周期不長，學到的東西也不會少，建議學習者根據(jù)自己的自身條件選擇是否報班。

二.學習網絡安全的準備

1.英語基礎與專業(yè)名詞

學習網絡安全，一定量的英文基礎是必須的，不然連代碼都看不懂。而專業(yè)術語也要有一定的了解，這樣在看網絡安全相關知識時不至于一臉茫然，簡單的“肉雞”、“木馬”、“后門”、“弱口令”、“花指令”、“免殺”等是什么意思，這些一定要先搞懂。

2.多瀏覽黑客、網絡安全相關的論壇，培養(yǎng)和加大對網絡安全行業(yè)的興趣

一部分人學習網絡安全是一時熱血沖動，網絡安全這個行業(yè)有幾分枯燥晦澀，如果不能持續(xù)保持高興趣，很容易半途而廢甚至在剛進入就放棄了，所以初學者需要多逛類似的論壇，多結交一些志同道合、有共同興趣愛好的朋友，這樣在了解網絡安全知識時，不僅可以互幫互助，還能長時間保持對網絡安全行業(yè)的高興趣。

在一些黑客論壇里面，不僅可以了解最新的安全事件，還能閱覽安全技術大佬的文章，即使初學看不懂，也能拓寬自己的挖掘思路，對網絡安全行業(yè)有更好的了解。

3.了解必要的安全工具

常用工具：1、Nmap。2、Sqlmap。3、MSF（Metasploit Framework)。4、BurpSuite。5、Netcat

借助一些安全工具，網絡安全工程師們能更高效的執(zhí)行項目任務，所以多了解安全工具，為以后的職業(yè)發(fā)展做鋪墊，上面5款都是黑客、網絡安全工程師常用到的安全工具。

4.電腦基礎

Windows基礎和Linux基礎，標記語言HTML基礎和代碼JS基礎，以及網絡基礎、數(shù)據(jù)庫基礎和虛擬機使用。

最后開始嘗試入手Web安全

web是對外開放的，這個是重點，黑客們最喜歡入侵！這個是必須先入手的。

先弄清web是怎么搭建的，知道它的構造。所以web前端和web后端的知識也要掌握，然后再學點python，這個是通用的語言。

要正式進入web安全領域，web滲透必須熟悉一波，OWASP TOP 10等常見Web漏洞原理與利用方式需要掌握，當然，還有相關額系統(tǒng)層面漏洞。

而其他的像攻防演練、等保測評，還需要慢慢去學習。

這些也可以看出，網絡安全的知識是學不完的，這是一個不斷自我學習和累積的過程。

?

三、網絡安全學習路線

如圖片過大被平臺壓縮導致看不清的話，大家記得點個關注，關注之后后臺會自動發(fā)送給大家！

第一階段：基礎操作入門

入門的第一步是學習一些當下主流的安全工具課程并配套基礎原理的書籍，一般來說這個過程在1個月左右比較合適。

在學習基礎入門課程的同時，同時閱讀相關的書籍補充理論知識，這里比較推薦以下幾本書：

《白帽子講Web安全》
《Web安全深度剖析》
《Web安全攻防 滲透測試實戰(zhàn)指南》

全套網絡安全資源，大家記得點個關注，關注之后后臺會自動發(fā)送給大家！

第二階段：學習基礎知識

在這個階段，你已經對網絡安全有了基本的了解。如果你認真學習完第一步，什么是sql注入，什么是xss攻擊這些已經都明白了，對burp、cs等安全工具也掌握了基礎操作。這個時候最重要的就是開始打地基！所謂的“打地基”其實就是系統(tǒng)化的學習計算機基礎知識

第三階段：實戰(zhàn)操作

1.挖SRC漏洞

挖SRC的目的主要是講技能落在實處，學習網絡安全最大的幻覺就是覺得自己什么都懂了，但是到了真的挖漏洞的時候卻一籌莫展，更多的還是要進行實操，把理論知識運用到實踐中，確保更好的掌握知識點。

2.從技術貼分享學習

觀看學習近十年所有挖掘的帖，然后搭建環(huán)境，去復現(xiàn)漏洞，去思考學習筆者的挖洞思維，培養(yǎng)自己的滲透思維。

到這一步，再加上之后對挖掘漏洞的技術多加練習與積累實戰(zhàn)經驗，基本就可以達到安全工程師的級別