网络安全自学路线建议

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0x00 前言

从2020年做这个公众号起陆陆续续有很多新人朋友问过我如何入门网络安全？如何学习渗透技术等问题？我在2022年也给大家简单整理了一个自学路线，微信私下问过我的都有给他们发过。最近闲来无事，在原来整理的自学路线上根据我现在的了解又多加了几条（仅供参考），希望对一些新人朋友有所帮助吧。

大佬们轻点喷，也欢迎各位师傅们纠错指正，给新人补充一些更好的自学建议。注：这里我只是提供自学路线，文中提到的培训并非广告，如需找培训还请自行斟酌！！！

0x01 自学路线

学习了解《中国网络安全安全法》以及其他相关的法律法规（这是必学的，切勿触及红线）；
学习计算机网络基础（OSI模型）和常见协议（TCP、UDP、ICMP、DNS、HTTP/HTTPS等）；
学习OWASP TOP 10和其他常见漏洞的漏洞产生原理以及各种利用方式、工具以及修复方案等；
学习Windows、Linux系统的常见命令和功能，为渗透打下基础，这里只要先学一些常用到的就行；
根据别人的课程目录、思维导图大致看下挖洞、渗透流程和测试方式，逐步熟悉每个环节和相关测试工具；
熟悉nmap、sqlmap、burpsuite、metasploit、cobaltstrike、wireshark等常用安全工具的命令参数和功能使用；
看下之前小迪、暗月、cracer、心东的已公开培训视频课程，都挺不错的，看完这些课程对入门基本上已经差不多了；
初学不敢实战可以打打靶场：dvwa、bwapp、sqli-labs、Upload-labs、Vulnhub、HackTheBox、红日/小迪/暗月靶场等；
多看一些别人的实战挖洞、渗透案例，然后自己尝试去参与众测、挖src(需授权)、或者找一些国外站点练手积累实战经验；
编程方面：html/js、php+mysql、java、python、golang、c/c++/c#、rust、汇编等，建议都学下，不说精通吧，但要能看懂；
这时就可以试着去分析、审计一些简单的CMS程序漏洞，根据POC写EXP，写些利用脚本工具啥的，可参考github开源项目；

0x02 其他建议

多收集整理一些用的上的网址、工具、脚本等，也可以尝试自己去写或者二开，整理自己得心应手的渗透/应急的安全工具包等;
多关注一些圈内大佬、国外大佬的Github、Twitter、Youtube、Medium，很多前沿攻防技术都是来源于国外...，国内环境都懂的...；
我们在学习和实践过程中多做笔记，遇到问题时先尝试自己去解决，在这过程中也能学到很多知识，实在不行时再去请教大佬师傅；
以前我们自学是如何使用好搜索引擎，而现在有了AI的加持，我们应该学会如何更好的利用AI进行高效学习和解决所遇到的问题等；
考证属加分项，根据需求去考，国内NISP/CISP/PTE/PTS/IRE/IRS/ISO27001，国外CISSP/OSCP/OSEP/OSWE/OSED/OSCE3等；

内部网络安全学习圈子重启。提供三大板块的内容：

1、网络安全0.1-1学习：每周发布学习任务，由浅入深，循序渐进，从常见的Web漏洞原理与利用、业务逻辑漏洞与挖掘、SRC挖掘、到WAF绕过、代码审计、钓鱼与免杀，再到LinuxWindows内网、提权、权限维持、隧道代理、域渗透、云安全、AI安全，层层递进。会发布相应的参考资料及建议，成员自行学习实践，并会根据每周任务选取1-3位完成优秀的成员，进行红包奖励。

2、SRC漏洞挖掘专项：内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧

3、常态化内容：日常分享优质学习资源与攻防渗透技巧，包括但不限于红蓝安全攻防、免杀、SRC挖掘技巧、攻防渗透tips、视频教程、手册、学习路线，针对网络安全成员的普遍水平，并为星友提供了教程方法技巧tips等等。

此前的一下学习记录：