?我之前就寫(xiě)過(guò)一篇文章專(zhuān)門(mén)解答了這個(gè)問(wèn)題。但是還是有很多小伙伴并不清楚這條路該怎么走下去！

不同于Java、C/C++等后端開(kāi)發(fā)崗位有非常明晰的學(xué)習(xí)路線，網(wǎng)路安全更多是靠自己摸索，要學(xué)的東西又雜又多，難成體系。

網(wǎng)絡(luò)安全雖然是計(jì)算機(jī)眾多方向中的一支，但這個(gè)方向中，還可以進(jìn)一步細(xì)分諸多細(xì)分方向，不同的方向要學(xué)的東西差別還是挺大的，所以需要分開(kāi)討論。

網(wǎng)絡(luò)安全分支

其實(shí)在網(wǎng)絡(luò)安全這個(gè)概念之上，還有一個(gè)更大的概念：信息安全。我們不去探討二者在學(xué)術(shù)劃分上的區(qū)別，如無(wú)特殊說(shuō)明，文中將其視為一個(gè)概念，我們來(lái)看下實(shí)際工作方向上，有哪些細(xì)分路線。

在這個(gè)圈子技術(shù)門(mén)類(lèi)中，工作崗位主要有以下三個(gè)方向：

安全研發(fā)
安全研究：二進(jìn)制方向
安全研究：網(wǎng)絡(luò)滲透方向

下面逐一說(shuō)明一下。

安全研發(fā)

安全行業(yè)的研發(fā)崗主要有兩種分類(lèi)：

與安全業(yè)務(wù)關(guān)系不大的研發(fā)崗位
與安全業(yè)務(wù)緊密相關(guān)的研發(fā)崗位

你可以把網(wǎng)絡(luò)安全理解成電商行業(yè)、教育行業(yè)等其他行業(yè)一樣，每個(gè)行業(yè)都有自己的軟件研發(fā)，網(wǎng)絡(luò)安全作為一個(gè)行業(yè)也不例外，不同的是這個(gè)行業(yè)的研發(fā)就是開(kāi)發(fā)與網(wǎng)絡(luò)安全業(yè)務(wù)相關(guān)的軟件。

既然如此，那其他行業(yè)通用的崗位在安全行業(yè)也是存在的，前端、后端、大數(shù)據(jù)分析等等，也就是屬于上面的第一個(gè)分類(lèi)，與安全業(yè)務(wù)關(guān)系不大的類(lèi)型。這里我們重點(diǎn)關(guān)注下第二種，與安全業(yè)務(wù)緊密相關(guān)的研發(fā)崗位。

這個(gè)分類(lèi)下面又可以分為兩個(gè)子類(lèi)型：

做安全產(chǎn)品開(kāi)發(fā)，做防
做安全工具開(kāi)發(fā)，做攻

安全行業(yè)要研發(fā)的產(chǎn)品，主要（但不限于）有下面這些：

防火墻、IDS、IPS
WAF（Web網(wǎng)站應(yīng)用防火墻）
數(shù)據(jù)庫(kù)網(wǎng)關(guān)
NTA（網(wǎng)絡(luò)流量分析）
SIEM（安全事件分析中心、態(tài)勢(shì)感知）
大數(shù)據(jù)安全分析
EDR（終端設(shè)備上的安全軟件）
DLP（數(shù)據(jù)泄漏防護(hù)）
殺毒軟件
安全檢測(cè)沙箱

總結(jié)一下，安全研發(fā)的產(chǎn)品大部分都是用于檢測(cè)發(fā)現(xiàn)、抵御安全攻擊用的，涉及終端側(cè)（PC電腦、手機(jī)、網(wǎng)絡(luò)設(shè)備等）、網(wǎng)絡(luò)側(cè)。

開(kāi)發(fā)這些產(chǎn)品用到的技術(shù)主要以C/C++、Java、Python三大技術(shù)棧為主，也有少部分的GoLang、Rust。

安全研發(fā)崗位，相對(duì)其他兩個(gè)方向，對(duì)網(wǎng)絡(luò)安全技術(shù)的要求要低一些（只是相對(duì)，部分產(chǎn)品的研發(fā)對(duì)安全技能要求并不低），甚至我見(jiàn)過(guò)不少公司的研發(fā)對(duì)安全一無(wú)所知。在這種情況下，如果除了基本的開(kāi)發(fā)功底以外，對(duì)網(wǎng)絡(luò)安全技術(shù)有所了解，自然會(huì)是你面試這些崗位時(shí)的加分項(xiàng)。

安全研發(fā)崗位，除了通用開(kāi)發(fā)技能的要求以外，可以重點(diǎn)關(guān)注一下下面這些技術(shù)：

上面列舉的只是最直接相關(guān)的部分，還需要有了解更多安全技術(shù)才能更好的開(kāi)發(fā)產(chǎn)品，繼續(xù)往下看。

二進(jìn)制安全

二進(jìn)制安全方向，這是安全領(lǐng)域兩大技術(shù)方向之一。

這個(gè)方向主要涉及到軟件漏洞挖掘、逆向工程、病毒木馬分析等工作，涉及操作系統(tǒng)內(nèi)核分析、調(diào)試與反調(diào)試、反病毒等技術(shù)。因?yàn)榻?jīng)常都是與二進(jìn)制的數(shù)據(jù)打交道，所以久而久之用二進(jìn)制安全來(lái)統(tǒng)稱(chēng)這個(gè)方向。

這個(gè)方向的特點(diǎn)是：需要耐得住寂寞。

比不上安全研發(fā)可以有實(shí)實(shí)在在的產(chǎn)品輸出，也比不上網(wǎng)絡(luò)滲透方向聽(tīng)起來(lái)的狂拽炫酷，這個(gè)方向更多時(shí)間是在默默的分析和研究。

以漏洞挖掘?yàn)槔?，光是學(xué)習(xí)五花八門(mén)的攻擊手法就需要花不少的時(shí)間。在這個(gè)領(lǐng)域，為了研究一個(gè)問(wèn)題，可能花費(fèi)數(shù)月甚至數(shù)年時(shí)間，這絕非一般人能堅(jiān)持下來(lái)的。不僅如此，不是勤奮就可以成功，更多還要靠天分。

像騰訊幾大安全實(shí)驗(yàn)室的掌門(mén)人，業(yè)界知名的TK教主、吳石這些人物，他們已經(jīng)深諳漏洞挖掘的奧義，并將這門(mén)絕技融會(huì)貫通，做個(gè)夢(mèng)都能想到新的玩法。不過(guò)像這樣的天才實(shí)在是少之又少，絕大多數(shù)人都無(wú)法企及。

如果說(shuō)程序員是苦逼的話，那二進(jìn)制安全研究就是苦逼Plus。

如果看了這些你還是有勇氣進(jìn)入這個(gè)領(lǐng)域，那下面這些東西是你需要學(xué)的：

這個(gè)方向比起安全研發(fā)，不僅技術(shù)難度更大，提供這些崗位的公司也很少，且基本上分布于北上廣深幾個(gè)一線城市。

網(wǎng)絡(luò)滲透

這個(gè)方向更符合于大部分人對(duì)“黑客”的認(rèn)知，他們能夠黑手機(jī)、黑電腦、黑網(wǎng)站、黑服務(wù)器、黑內(nèi)網(wǎng)，萬(wàn)物皆可黑。

相比二進(jìn)制安全方向，這個(gè)方向初期更容易入門(mén)一些，掌握一些基本技術(shù)，拿起各種現(xiàn)成的工具就可以開(kāi)黑了。

不過(guò)，要想從腳本小子變成黑客大神，這個(gè)方向越往后，需要學(xué)習(xí)和掌握的東西就多了：

網(wǎng)絡(luò)滲透的方向更偏向于“實(shí)戰(zhàn)”，因此對(duì)技術(shù)在廣度上有更高的要求，從網(wǎng)絡(luò)硬件設(shè)備、網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)服務(wù)（web、郵件、文件、數(shù)據(jù)庫(kù)等）、到操作系統(tǒng)、攻擊手法等等都需要了解。更偏向于一個(gè)全能型的計(jì)算機(jī)專(zhuān)家，將各種技術(shù)融會(huì)貫通，以用于“實(shí)戰(zhàn)”。

網(wǎng)絡(luò)滲透方向的工作有下面幾個(gè)方向：

安全服務(wù)，俗稱(chēng)乙方，這是最主要的一個(gè)方向，為甲方公司提供安全能力支持，如滲透測(cè)試，產(chǎn)品安全檢測(cè)等。
安全能力建設(shè)，俗稱(chēng)甲方，國(guó)內(nèi)稍微有點(diǎn)規(guī)模的公司都有自己的SRC（安全應(yīng)急響應(yīng)中心），也就是有自己的安全團(tuán)隊(duì)。
國(guó)家隊(duì)：你懂的

學(xué)習(xí)路線

上面說(shuō)完了三個(gè)大的技術(shù)方向后，下面來(lái)聊聊該怎么上路呢？下面說(shuō)說(shuō)我的看法。

入門(mén)的第一步是學(xué)習(xí)一些當(dāng)下主流的安全工具課程并配套基礎(chǔ)原理的書(shū)籍，一般來(lái)說(shuō)這個(gè)過(guò)程在1個(gè)月左右比較合適。

在這個(gè)階段，你已經(jīng)對(duì)網(wǎng)絡(luò)安全有了基本的了解。如果你學(xué)完了第一步，相信你已經(jīng)在理論上明白了上面是sql注入，什么是xss攻擊，對(duì)burp、msf、cs等安全工具也掌握了基礎(chǔ)操作。這個(gè)時(shí)候最重要的就是開(kāi)始打地基！

所謂的“打地基”其實(shí)就是系統(tǒng)化的學(xué)習(xí)計(jì)算機(jī)基礎(chǔ)知識(shí)。而想要學(xué)習(xí)好網(wǎng)絡(luò)安全，首先要具備5個(gè)基礎(chǔ)知識(shí)模塊：

1.操作系統(tǒng)

2.協(xié)議/網(wǎng)絡(luò)

3.數(shù)據(jù)庫(kù)

4.開(kāi)發(fā)語(yǔ)言

5.常見(jiàn)漏洞原理

學(xué)習(xí)這些基礎(chǔ)知識(shí)有什么用呢？

計(jì)算機(jī)各領(lǐng)域的知識(shí)水平?jīng)Q定你滲透水平的上限。

【1】比如：你編程水平高，那你在代碼審計(jì)的時(shí)候就會(huì)比別人強(qiáng)，寫(xiě)出的漏洞利用工具就會(huì)比別人的好用；

【2】比如：你數(shù)據(jù)庫(kù)知識(shí)水平高，那你在進(jìn)行SQL注入攻擊的時(shí)候，你就可以寫(xiě)出更多更好的SQL注入語(yǔ)句，能繞過(guò)別人繞不過(guò)的WAF；

【3】比如：你網(wǎng)絡(luò)水平高，那你在內(nèi)網(wǎng)滲透的時(shí)候就可以比別人更容易了解目標(biāo)的網(wǎng)絡(luò)架構(gòu)，拿到一張網(wǎng)絡(luò)拓?fù)渚湍茏约涸谀膫€(gè)部位，拿到以一個(gè)路由器的配置文件，就知道人家做了哪些路由；

【4】再比如你操作系統(tǒng)玩的好，你提權(quán)就更加強(qiáng)，你的信息收集效率就會(huì)更加高，你就可以高效篩選出想要得到的信息

第二階段：實(shí)戰(zhàn)操作

1.挖SRC

挖SRC的目的主要是講技能落在實(shí)處，學(xué)習(xí)網(wǎng)絡(luò)安全最大的幻覺(jué)就是覺(jué)得自己什么都懂了，但是到了真的挖漏洞的時(shí)候卻一籌莫展，而SRC是一個(gè)非常好的技能應(yīng)用機(jī)會(huì)。

2.從技術(shù)分享帖（漏洞挖掘類(lèi)型）學(xué)習(xí)

觀看學(xué)習(xí)近十年所有0day挖掘的帖，然后搭建環(huán)境，去復(fù)現(xiàn)漏洞，去思考學(xué)習(xí)筆者的挖洞思維，培養(yǎng)自己的滲透思維

3.靶場(chǎng)練習(xí)

自己搭建靶場(chǎng)或者去免費(fèi)的靶場(chǎng)網(wǎng)站練習(xí)，有條件的話可以去購(gòu)買(mǎi)或者報(bào)靠譜的培訓(xùn)機(jī)構(gòu)，一般就有配套的靶場(chǎng)練習(xí)

第三階段：參加CTF比賽或者HVV行動(dòng)

推薦：CTF比賽

CTF有三點(diǎn)：

【1】接近實(shí)戰(zhàn)的機(jī)會(huì)?，F(xiàn)在網(wǎng)絡(luò)安全法很?chē)?yán)格，不像之前大家能瞎搞

【2】題目緊跟技術(shù)前沿，而書(shū)籍很多落后了

【3】如果是大學(xué)生的話，以后對(duì)找工作也很有幫助

如果你想打CTF比賽，直接去看賽題，賽題看不懂，根據(jù)不懂的地方接著去看資料

推薦：HVV（護(hù)網(wǎng)）

HVV有四點(diǎn)：

【1】也能極大的鍛煉你，提高自身的技術(shù)，最好是參加每年舉行的HVV行動(dòng)

【2】能認(rèn)識(shí)許多圈內(nèi)的大佬，擴(kuò)大你的人脈

【3】HVV的工資也很高，所以參加的話也能讓你賺到不少錢(qián)

【4】和CTF比賽一樣如果是大學(xué)生的話，以后對(duì)找工作也很有幫助

四、學(xué)習(xí)資料的推薦

書(shū)單推薦：

計(jì)算機(jī)操作系統(tǒng)：

【1】編碼：隱藏在計(jì)算機(jī)軟硬件背后的語(yǔ)言

【2】深入理解操作系統(tǒng)

【3】深入理解windows操作系統(tǒng)

【4】Linux內(nèi)核與實(shí)現(xiàn)

編程開(kāi)發(fā)類(lèi)：

【1】?Windows程序設(shè)計(jì)

【2】windwos核心變成

【3】Linux程序設(shè)計(jì)

【4】unix環(huán)境高級(jí)變成

【5】IOS變成

【6】第一行代碼Android

【7】C程序語(yǔ)言設(shè)計(jì)

【8】C primer plus

【9】C和指針

【10】C專(zhuān)家編程

我下面也給大家整理了一些網(wǎng)絡(luò)安全的資料，大家不想一個(gè)一個(gè)去找的話，可以參考一下這些資料哈

部分內(nèi)容展示

視頻教程

書(shū)籍資料

護(hù)網(wǎng)文檔

這份完整版的網(wǎng)安學(xué)習(xí)資料已經(jīng)上傳，朋友們?nèi)绻枰梢渣c(diǎn)擊下方鏈接免費(fèi)領(lǐng)取【保證100%免費(fèi)】?

B站大禮包：《黑客&網(wǎng)絡(luò)安全入門(mén)&進(jìn)階學(xué)習(xí)資源包》免費(fèi)領(lǐng)取

總結(jié)

以上就是我對(duì)剛?cè)胄芯W(wǎng)絡(luò)安全的朋友的一些個(gè)人的建議，最后有一點(diǎn)需要說(shuō)明一下：

上面列舉到的不同方向的技術(shù)不是嚴(yán)格意義獨(dú)立的，相反，很多時(shí)候是相輔相成，需要結(jié)合起來(lái)，融會(huì)貫通。

每個(gè)人的認(rèn)知是有限的，我也不例外。本文只是我的一家之言，建議大家多看一些人的總結(jié)和經(jīng)驗(yàn)，橫向?qū)Ρ?，兼?tīng)則明，偏聽(tīng)則暗。

網(wǎng)絡(luò)安全領(lǐng)域就像是一棵碩果累累的參天大樹(shù)，底下站著無(wú)數(shù)觀望者，他們都聲稱(chēng)自己喜歡網(wǎng)絡(luò)安全，想上樹(shù)摘果，但面對(duì)時(shí)不時(shí)垂下來(lái)的藤枝，他們卻躊躇不前，猶豫不決。

實(shí)際上，只要任意抓住一根藤枝，都能爬上這棵樹(shù)。 大部分人缺的，就是這么一個(gè)開(kāi)端。