一、為什么選擇網(wǎng)絡(luò)安全？

這幾年隨著我國《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護(hù)2.0》等一系列政策/法規(guī)/標(biāo)準(zhǔn)的持續(xù)落地，網(wǎng)絡(luò)安全行業(yè)地位、薪資隨之水漲船高。

未來3-5年，是安全行業(yè)的黃金發(fā)展期，提前踏入行業(yè)，能享受行業(yè)發(fā)展紅利。

二、為什么說網(wǎng)絡(luò)安全行業(yè)是IT行業(yè)最后的紅利？

根據(jù)騰訊安全發(fā)布的《互聯(lián)網(wǎng)安全報(bào)告》，目前中國網(wǎng)絡(luò)安全人才供應(yīng)嚴(yán)重匱乏，每年高校安全專業(yè)培養(yǎng)人才僅有3萬余人，而網(wǎng)絡(luò)安全崗位缺口已達(dá)70萬，缺口高達(dá)95%

選擇安全行業(yè)有以下4大優(yōu)勢：

1、沒有年齡限制

在IT行業(yè)有很多崗位有35歲年齡焦慮，擔(dān)心企業(yè)是否愿意接問題，而網(wǎng)絡(luò)安全靠的是解決問題的能力，從業(yè)年份越多經(jīng)驗(yàn)越豐富，就越值錢。

2、學(xué)歷門檻相對寬松

目前網(wǎng)安高?？瓢喑錾淼暮苌伲皇情_設(shè)網(wǎng)絡(luò)安全專業(yè)的學(xué)校很少，二是即便開設(shè)了網(wǎng)安專業(yè)由于師資短缺培養(yǎng)的學(xué)生也很少，因此現(xiàn)在網(wǎng)安招聘還是以轉(zhuǎn)行為主，并且對年齡、專業(yè)、學(xué)歷的要求定的沒有那么死，就業(yè)市場相對來說比較寬容。

3、整體薪資水平高

網(wǎng)絡(luò)安全的薪資相比其他IT行業(yè)起薪待遇更高，起步通常在7k以上，最高可達(dá)年薪百萬，還有機(jī)會獲得不菲的兼職收入。

學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)的方法無非三種:

第一種是報(bào)網(wǎng)絡(luò)安全專業(yè)，現(xiàn)在叫網(wǎng)絡(luò)空間安全專業(yè)，主要專業(yè)課程:程序設(shè)計(jì)、計(jì)算機(jī)組成原理原理、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)原理、數(shù)據(jù)庫系統(tǒng)、 計(jì)算機(jī)網(wǎng)絡(luò)、人工智能、自然語言處理、社會計(jì)算、網(wǎng)絡(luò)安全法律法規(guī)、網(wǎng)絡(luò)安全、內(nèi)容安全、數(shù)字取證、機(jī)器學(xué)習(xí)，多媒體技，信息檢索、輿情分析等。

第二種是自學(xué)，就是在網(wǎng)上找資源、找教程，或者是想辦法認(rèn)識一-些大佬，抱緊大腿，不過這種方法很耗時(shí)間，而且學(xué)習(xí)沒有規(guī)劃，可能很長一段時(shí)間感覺自己沒有進(jìn)步，容易勸退。

第三種就是找培訓(xùn)。

那么接下來，我會告訴你一個(gè)從事以上真正零基礎(chǔ)該從怎么入門web安全

網(wǎng)絡(luò)安全入門到底是先學(xué)編程還是先學(xué)計(jì)算機(jī)基礎(chǔ)？這是一個(gè)爭議比較大的問題，有的人會建議先學(xué)編程，而有的人會建議先學(xué)計(jì)算機(jī)基礎(chǔ)，其實(shí)這都是要學(xué)的。而且這些對學(xué)習(xí)網(wǎng)絡(luò)安全來說非常重要。但是對于完全零基礎(chǔ)的人來說又或者急于轉(zhuǎn)行的人來說，學(xué)習(xí)編程或者計(jì)算機(jī)基礎(chǔ)對他們來說都有一定的難度，并且花費(fèi)時(shí)間太長。

第一階段：基礎(chǔ)準(zhǔn)備 4周~6周

這個(gè)階段是所有準(zhǔn)備進(jìn)入安全行業(yè)必學(xué)的部分，俗話說：基礎(chǔ)不勞，地動(dòng)山搖

第二階段：web滲透

學(xué)習(xí)基礎(chǔ) 時(shí)間：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上傳、CSRF、一句話木馬、等）為之后的WEB滲透測試打下基礎(chǔ)。

② 查看一些論壇的一些Web滲透，學(xué)一學(xué)案例的思路，每一個(gè)站點(diǎn)都不一樣，所以思路是主要的。

③ 學(xué)會提問的藝術(shù)，如果遇到不懂得要善于提問。

配置滲透環(huán)境 時(shí)間：3周 ~ 4周：

① 了解滲透測試常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中國菜刀等）。

② 下載這些工具無后門版本并且安裝到計(jì)算機(jī)上。

③ 了解這些工具的使用場景，懂得基本的使用，推薦在Google上查找。

滲透實(shí)戰(zhàn)操作 時(shí)間：約6周：

① 在網(wǎng)上搜索滲透實(shí)戰(zhàn)案例，深入了解SQL注入、文件上傳、解析漏洞等在實(shí)戰(zhàn)中的使用。

② 自己搭建漏洞環(huán)境測試，推薦DWVA，SQLi-labs，Upload-labs，bWAPP。

③ 懂得滲透測試的階段，每一個(gè)階段需要做那些動(dòng)作：例如PTES滲透測試執(zhí)行標(biāo)準(zhǔn)。

④ 深入研究手工SQL注入，尋找繞過waf的方法，制作自己的腳本。

⑤ 研究文件上傳的原理，如何進(jìn)行截?cái)唷㈦p重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架。

⑥ 了解XSS形成原理和種類，在DWVA中進(jìn)行實(shí)踐，使用一個(gè)含有XSS漏洞的cms，安裝安全狗等進(jìn)行測試。

⑦ 了解一句話木馬，并嘗試編寫過狗一句話。

⑧ 研究在Windows和Linux下的提升權(quán)限，Google關(guān)鍵詞：提權(quán)

以上就是入門階段

第三階段：進(jìn)階

已經(jīng)入門并且找到工作之后又該怎么進(jìn)階？詳情看下圖

給新手小白的入門建議：

適合初學(xué)者的web安全書籍

《CCNA學(xué)習(xí)指南》

《TCP/IP詳解卷一》

《局域網(wǎng)交換機(jī)安全》

《Cisco防火墻》

《網(wǎng)絡(luò)安全原理與實(shí)踐》

《網(wǎng)絡(luò)安全技術(shù)與解決方案》

《華為防火墻技術(shù)漫談》

《Cisco網(wǎng)絡(luò)黑客大曝光》

《Wireshark網(wǎng)絡(luò)分析實(shí)戰(zhàn)》

《Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn)》

《DDoS攻擊與防范深度剖析》

《Cisco VPN完全配置指南》

《Cisco安全入侵檢測系統(tǒng)》

Web安全/滲透測試推薦書單

《白帽子講Web安全》

《Web安全深度剖析》

《Metaspolit滲透測試魔鬼訓(xùn)練營》

《Web前端安全揭秘》

《Web滲透測試使用Kali Linux》

《黑客攻防技術(shù)寶典Web實(shí)戰(zhàn)篇》

《BurpSuite實(shí)戰(zhàn)指南》

《SQL注入攻擊與防御》

《XSS跨站腳本攻擊剖析與防御》

《互聯(lián)網(wǎng)企業(yè)安全高級指南》

評論區(qū)留言學(xué)習(xí)即可領(lǐng)取相關(guān)資料