一、為什么選擇網(wǎng)絡安全？

這幾年隨著我國《國家網(wǎng)絡空間安全戰(zhàn)略》《網(wǎng)絡安全法》《網(wǎng)絡安全等級保護2.0》等一系列政策/法規(guī)/標準的持續(xù)落地，網(wǎng)絡安全行業(yè)地位、薪資隨之水漲船高。

未來3-5年，是安全行業(yè)的黃金發(fā)展期，提前踏入行業(yè)，能享受行業(yè)發(fā)展紅利。

二、為什么說網(wǎng)絡安全行業(yè)是IT行業(yè)最后的紅利？

根據(jù)騰訊安全發(fā)布的《互聯(lián)網(wǎng)安全報告》，目前中國網(wǎng)絡安全人才供應嚴重匱乏，每年高校安全專業(yè)培養(yǎng)人才僅有3萬余人，而網(wǎng)絡安全崗位缺口已達70萬，缺口高達95%。

而且，我們到招聘網(wǎng)站上，搜索【網(wǎng)絡安全】【W(wǎng)eb安全工程師】【滲透測試】等職位名稱，可以看到安全崗位薪酬待遇好，隨著工齡和薪酬增長，呈現(xiàn)「越老越吃香」的情況。

選擇安全行業(yè)有以下4大優(yōu)勢：

01沒有年齡限制

在IT行業(yè)有很多崗位有35歲年齡焦慮，擔心企業(yè)是否愿意接問題，而網(wǎng)絡安全靠的是解決問題的能力，從業(yè)年份越多經驗越豐富，就越值錢。

02學歷門檻相對寬松

目前網(wǎng)安高校科班出身的很少，一是開設網(wǎng)絡安全專業(yè)的學校很少，二是即便開設了網(wǎng)安專業(yè)由于師資短缺培養(yǎng)的學生也很少，因此現(xiàn)在網(wǎng)安招聘還是以轉行為主，并且對年齡、專業(yè)、學歷的要求定的沒有那么死，就業(yè)市場相對來說比較寬容。

03整體薪資水平高

網(wǎng)絡安全的薪資相比其他IT行業(yè)起薪待遇更高，起步通常在7k以上，最高可達年薪百萬，還有機會獲得不菲的兼職收入。

學習網(wǎng)絡安全技術的方法無非三種:

第一種是報網(wǎng)絡安全專業(yè)，現(xiàn)在叫網(wǎng)絡空間安全專業(yè)，主要專業(yè)課程:程序設計、計算機組成原理原理、數(shù)據(jù)結構、操作系統(tǒng)原理、數(shù)據(jù)庫系統(tǒng)、 計算機網(wǎng)絡、人工智能、自然語言處理、社會計算、網(wǎng)絡安全法律法規(guī)、網(wǎng)絡安全、內容安全、數(shù)字取證、機器學習，多媒體技術，信息檢索、輿情分析等。

第二種是自學，就是在網(wǎng)上找資源、找教程，或者是想辦法認識一-些大佬，抱緊大腿，不過這種方法很耗時間，而且學習沒有規(guī)劃，可能很長一段時間感覺自己沒有進步，容易勸退。

第三種就是找培訓。

那么接下來，我會告訴你一個從事以上真正零基礎該從怎么入門web安全

網(wǎng)絡安全入門到底是先學編程還是先學計算機基礎？這是一個爭議比較大的問題，有的人會建議先學編程，而有的人會建議先學計算機基礎，其實這都是要學的。而且這些對學習網(wǎng)絡安全來說非常重要。但是對于完全零基礎的人來說又或者急于轉行的人來說，學習編程或者計算機基礎對他們來說都有一定的難度，并且花費時間太長。

第一階段：基礎準備 4周~6周

這個階段是所有準備進入安全行業(yè)必學的部分，俗話說：基礎不勞，地動山搖

第二階段：web滲透

學習基礎時間：(1周 ~ 2周)

① 了解基本概念：（SQL注入、XSS、上傳、CSRF、一句話木馬、等）為之后的WEB滲透測試打下基礎。

② 查看一些論壇的一些Web滲透，學一學案例的思路，每一個站點都不一樣，所以思路是主要的。

③ 學會提問的藝術，如果遇到不懂得要善于提問。

配置滲透環(huán)境 時間：（3周 ~ 4周）

① 了解滲透測試常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中國菜刀等）。

② 下載這些工具無后門版本并且安裝到計算機上。

③ 了解這些工具的使用場景，懂得基本的使用，推薦在Google上查找。

滲透實戰(zhàn)操作 時間：（約6周）

① 在網(wǎng)上搜索滲透實戰(zhàn)案例，深入了解SQL注入、文件上傳、解析漏洞等在實戰(zhàn)中的使用。

② 自己搭建漏洞環(huán)境測試，推薦DWVA，SQLi-labs，Upload-labs，bWAPP。

③ 懂得滲透測試的階段，每一個階段需要做那些動作：例如PTES滲透測試執(zhí)行標準。

④ 深入研究手工SQL注入，尋找繞過waf的方法，制作自己的腳本。

⑤ 研究文件上傳的原理，如何進行截斷、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架。

⑥ 了解XSS形成原理和種類，在DWVA中進行實踐，使用一個含有XSS漏洞的cms，安裝安全狗等進行測試。

⑦ 了解一句話木馬，并嘗試編寫過狗一句話。

⑧ 研究在Windows和Linux下的提升權限，Google關鍵詞：提權

以上就是入門階段

第三階段：進階

入門并且找到工作之后又該怎么進階？詳情看下圖

給新手小白的入門建議：

適合初學者的web安全書籍

• 《CCNA學習指南》

• 《TCP/IP詳解卷一》

• 《局域網(wǎng)交換機安全》

• 《Cisco防火墻》

• 《網(wǎng)絡安全原理與實踐》

• 《網(wǎng)絡安全技術與解決方案》

• 《華為防火墻技術漫談》

• 《Cisco網(wǎng)絡黑客大曝光》

• 《Wireshark網(wǎng)絡分析實戰(zhàn)》

• 《Wireshark數(shù)據(jù)包分析實戰(zhàn)》

• 《DDoS攻擊與防范深度剖析》

• 《Cisco VPN完全配置指南》

• 《Cisco安全入侵檢測系統(tǒng)》

Web安全/滲透測試推薦書單

• 《白帽子講Web安全》

• 《Web安全深度剖析》

• 《Metaspolit滲透測試魔鬼訓練營》

• 《Web前端安全揭秘》

• 《Web滲透測試使用Kali Linux》

• 《黑客攻防技術寶典Web實戰(zhàn)篇》

• 《BurpSuite實戰(zhàn)指南》

• 《SQL注入攻擊與防御》

• 《XSS跨站腳本攻擊剖析與防御》

• 《互聯(lián)網(wǎng)企業(yè)安全高級指南》