前言

滲透測試人才是現(xiàn)如今很多企業(yè)都需求人才，該人才能夠保證自己企業(yè)的官網(wǎng)在運作的過程中不被惡意襲擊，避免漏洞出現(xiàn)，減少信息丟失的可能；需求缺口極大，所以有著越來越多的人準(zhǔn)備學(xué)習(xí)滲透測試技術(shù)，為了自己在之后就業(yè)的時候能夠更好的找到自己的工作，但是在滲透測試的學(xué)習(xí)中，有著四大學(xué)習(xí)誤區(qū)，要是中招了，就全都白學(xué)了。

一、網(wǎng)絡(luò)安全學(xué)習(xí)的誤區(qū)

1.軟件錯誤認(rèn)知

第一個誤區(qū)就是對軟件錯誤認(rèn)知，并不是說學(xué)習(xí)了一個軟件的基本使用流程就能夠徹底的掌握滲透測試，并不是這樣的，只學(xué)會一條程序運行的流程能夠解決的問題非常有限；網(wǎng)絡(luò)滲透和網(wǎng)絡(luò)滲透的情況幾乎是隨時隨地都在變化的，要想要靠著一個運行流程的程序就能夠搞定所有的滲透情況和漏洞，那只能說，太天真了。

2死學(xué)無用

第二個誤區(qū)就是我只要死學(xué)，就一定能夠成才；要是抱有這樣想法的人，入門滲透測試是一件非常困難的事情，滲透測試需要的是很高的靈活性，要是靈活性不夠高，只懂得學(xué)習(xí)書本上知識的話，是很難真正學(xué)會滲透測試的；可能遇到一個熟悉的問題，能夠在極短的時間里就完成解決，但是要是遇到一個全新的，沒有見過的問題，那有很大的可能，就是傻傻的坐在電腦前，不知道怎么辦。

3.理論知識至上

第三個誤區(qū)就是理論知識至上，在很多人的觀念中認(rèn)為，只要自己學(xué)會了理論知識就能夠徹底的掌握滲透測試，只要學(xué)習(xí)會了理論知識，那些實際操作就能夠手到擒來；但是事實上是，要是只學(xué)習(xí)理論知識，不結(jié)合實踐的話，再怎么樣學(xué)習(xí)都是沒有效果的，因為到了真正應(yīng)用的時候，可能會亂的一塌糊涂。

4.自學(xué)滲透知識

最后一個誤區(qū)就是我可以自學(xué)滲透測試，是，滲透測試是能夠自學(xué)，但是還是和以上情況同樣的問題，自己進(jìn)行學(xué)習(xí)的時候是能夠?qū)W到不少，但是滲透和漏洞是會不斷更新的，在書上自學(xué)能夠?qū)W到的只有理論知識，要是遇到了一個全新的情況，怎么樣入手去解決，怎么樣去分析問題的原因是自學(xué)無法學(xué)會的。

2023.7最新500G《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》分享

5.及時止損

學(xué)習(xí)滲透測試并不像是很多人想的那么簡單，什么我只要掌握了一門編程語言之后，就能夠很好的掌握滲透測試；不是的，正是因為很多抱著這樣的想法，就全部進(jìn)入了誤區(qū)里，就是我能行，我自學(xué)，我靠著理論就行；但是現(xiàn)實是，只有這些理論知識的人是沒有辦法成才的，所以，在發(fā)現(xiàn)自己進(jìn)入誤區(qū)之后，請及時的走出來，不要越陷越深。

6.報班學(xué)習(xí)

很多人覺得報班就是浪費錢財，覺得自己自學(xué)就很好了，但其實自學(xué)也是需要一定的天賦和理解能力，且自學(xué)的周期較長，一些急躁的學(xué)習(xí)者或者急于找到工作的學(xué)習(xí)者，還是報班學(xué)的比較輕松，學(xué)習(xí)周期不長，學(xué)到的東西也不會少，建議學(xué)習(xí)者根據(jù)自己的自身條件選擇是否報班。

二.學(xué)習(xí)網(wǎng)絡(luò)安全的準(zhǔn)備

1.英語基礎(chǔ)與專業(yè)名詞

學(xué)習(xí)網(wǎng)絡(luò)安全，一定量的英文基礎(chǔ)是必須的，不然連代碼都看不懂。而專業(yè)術(shù)語也要有一定的了解，這樣在看網(wǎng)絡(luò)安全相關(guān)知識時不至于一臉茫然，簡單的“肉雞”、“木馬”、“后門”、“弱口令”、“花指令”、“免殺”等是什么意思，這些一定要先搞懂。

2.多瀏覽黑客、網(wǎng)絡(luò)安全相關(guān)的論壇，培養(yǎng)和加大對網(wǎng)絡(luò)安全行業(yè)的興趣

一部分人學(xué)習(xí)網(wǎng)絡(luò)安全是一時熱血沖動，網(wǎng)絡(luò)安全這個行業(yè)有幾分枯燥晦澀，如果不能持續(xù)保持高興趣，很容易半途而廢甚至在剛進(jìn)入就放棄了，所以初學(xué)者需要多逛類似的論壇，多結(jié)交一些志同道合、有共同興趣愛好的朋友，這樣在了解網(wǎng)絡(luò)安全知識時，不僅可以互幫互助，還能長時間保持對網(wǎng)絡(luò)安全行業(yè)的高興趣。

在一些黑客論壇里面，不僅可以了解最新的安全事件，還能閱覽安全技術(shù)大佬的文章，即使初學(xué)看不懂，也能拓寬自己的挖掘思路，對網(wǎng)絡(luò)安全行業(yè)有更好的了解。

3.了解必要的安全工具

常用工具：1、Nmap。2、Sqlmap。3、MSF（Metasploit Framework)。4、BurpSuite。5、Netcat

借助一些安全工具，網(wǎng)絡(luò)安全工程師們能更高效的執(zhí)行項目任務(wù)，所以多了解安全工具，為以后的職業(yè)發(fā)展做鋪墊，上面5款都是黑客、網(wǎng)絡(luò)安全工程師常用到的安全工具。

4.電腦基礎(chǔ)

Windows基礎(chǔ)和Linux基礎(chǔ)，標(biāo)記語言HTML基礎(chǔ)和代碼JS基礎(chǔ)，以及網(wǎng)絡(luò)基礎(chǔ)、數(shù)據(jù)庫基礎(chǔ)和虛擬機(jī)使用。

最后開始嘗試入手Web安全

web是對外開放的，這個是重點，黑客們最喜歡入侵！這個是必須先入手的。

先弄清web是怎么搭建的，知道它的構(gòu)造。所以web前端和web后端的知識也要掌握，然后再學(xué)點python，這個是通用的語言。

要正式進(jìn)入web安全領(lǐng)域，web滲透必須熟悉一波，OWASP TOP 10等常見Web漏洞原理與利用方式需要掌握，當(dāng)然，還有相關(guān)額系統(tǒng)層面漏洞。

而其他的像攻防演練、等保測評，還需要慢慢去學(xué)習(xí)。

這些也可以看出，網(wǎng)絡(luò)安全的知識是學(xué)不完的，這是一個不斷自我學(xué)習(xí)和累積的過程。

?

三、網(wǎng)絡(luò)安全學(xué)習(xí)路線

如圖片過大被平臺壓縮導(dǎo)致看不清的話，大家記得點個關(guān)注，關(guān)注之后后臺會自動發(fā)送給大家！

第一階段：基礎(chǔ)操作入門

入門的第一步是學(xué)習(xí)一些當(dāng)下主流的安全工具課程并配套基礎(chǔ)原理的書籍，一般來說這個過程在1個月左右比較合適。

在學(xué)習(xí)基礎(chǔ)入門課程的同時，同時閱讀相關(guān)的書籍補充理論知識，這里比較推薦以下幾本書：

《白帽子講Web安全》
《Web安全深度剖析》
《Web安全攻防 滲透測試實戰(zhàn)指南》

全套網(wǎng)絡(luò)安全資源，大家記得點個關(guān)注，關(guān)注之后后臺會自動發(fā)送給大家！

第二階段：學(xué)習(xí)基礎(chǔ)知識

在這個階段，你已經(jīng)對網(wǎng)絡(luò)安全有了基本的了解。如果你認(rèn)真學(xué)習(xí)完第一步，什么是sql注入，什么是xss攻擊這些已經(jīng)都明白了，對burp、cs等安全工具也掌握了基礎(chǔ)操作。這個時候最重要的就是開始打地基！所謂的“打地基”其實就是系統(tǒng)化的學(xué)習(xí)計算機(jī)基礎(chǔ)知識

第三階段：實戰(zhàn)操作

1.挖SRC漏洞

挖SRC的目的主要是講技能落在實處，學(xué)習(xí)網(wǎng)絡(luò)安全最大的幻覺就是覺得自己什么都懂了，但是到了真的挖漏洞的時候卻一籌莫展，更多的還是要進(jìn)行實操，把理論知識運用到實踐中，確保更好的掌握知識點。

2.從技術(shù)貼分享學(xué)習(xí)

觀看學(xué)習(xí)近十年所有挖掘的帖，然后搭建環(huán)境，去復(fù)現(xiàn)漏洞，去思考學(xué)習(xí)筆者的挖洞思維，培養(yǎng)自己的滲透思維。

到這一步，再加上之后對挖掘漏洞的技術(shù)多加練習(xí)與積累實戰(zhàn)經(jīng)驗，基本就可以達(dá)到安全工程師的級別