2024自學網絡安全的三個必經階段（含路線圖）

一、為什么選擇網絡安全？

這幾年隨著我國《國家網絡空間安全戰略》《網絡安全法》《網絡安全等級保護2.0》等一系列政策/法規/標準的持續落地，網絡安全行業地位、薪資隨之水漲船高。

未來3-5年，是安全行業的黃金發展期，提前踏入行業，能享受行業發展紅利。

二、為什么說網絡安全行業是IT行業最后的紅利？

根據騰訊安全發布的《互聯網安全報告》，目前中國網絡安全人才供應嚴重匱乏，每年高校安全專業培養人才僅有3萬余人，而網絡安全崗位缺口已達70萬，缺口高達95%。

而且，我們到招聘網站上，搜索【網絡安全】【Web安全工程師】【滲透測試】等職位名稱，可以看到安全崗位薪酬待遇好，隨著工齡和薪酬增長，呈現「越老越吃香」的情況。

選擇安全行業有以下4大優勢：

01沒有年齡限制

在IT行業有很多崗位有35歲年齡焦慮，擔心企業是否愿意接問題，而網絡安全靠的是解決問題的能力，從業年份越多經驗越豐富，就越值錢。

02學歷門檻相對寬松
目前網安高校科班出身的很少，一是開設網絡安全專業的學校很少，二是即便開設了網安專業由于師資短缺培養的學生也很少，因此現在網安招聘還是以轉行為主，并且對年齡、專業、學歷的要求定的沒有那么死，就業市場相對來說比較寬容。

03整體薪資水平高

網絡安全的薪資相比其他IT行業起薪待遇更高，起步通常在7k以上，最高可達年薪百萬，還有機會獲得不菲的兼職收入。

學習網絡安全技術的方法無非三種:

第一種是報網絡安全專業，現在叫網絡空間安全專業，主要專業課程:程序設計、計算機組成原理原理、數據結構、操作系統原理、數據庫系統、計算機網絡、人工智能、自然語言處理、社會計算、網絡安全法律法規、網絡安全、內容安全、數字取證、機器學習，多媒體技術，信息檢索、輿情分析等。

第二種是自學，就是在網上找資源、找教程，或者是想辦法認識一-些大佬，抱緊大腿，不過這種方法很耗時間，而且學習沒有規劃，可能很長一段時間感覺自己沒有進步，容易勸退。

第三種就是找培訓。

那么接下來，我會告訴你一個從事以上真正零基礎該從怎么入門web安全

網絡安全入門到底是先學編程還是先學計算機基礎？這是一個爭議比較大的問題，有的人會建議先學編程，而有的人會建議先學計算機基礎，其實這都是要學的。而且這些對學習網絡安全來說非常重要。但是對于完全零基礎的人來說又或者急于轉行的人來說，學習編程或者計算機基礎對他們來說都有一定的難度，并且花費時間太長。

第二階段：web滲透

學習基礎時間：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上傳、CSRF、一句話木馬、等）為之后的WEB滲透測試打下基礎。
② 查看一些論壇的一些Web滲透，學一學案例的思路，每一個站點都不一樣，所以思路是主要的。
③ 學會提問的藝術，如果遇到不懂得要善于提問。

配置滲透環境時間：3周 ~ 4周：

① 了解滲透測試常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中國菜刀等）。
② 下載這些工具無后門版本并且安裝到計算機上。
③ 了解這些工具的使用場景，懂得基本的使用，推薦在Google上查找。

① 在網上搜索滲透實戰案例，深入了解SQL注入、文件上傳、解析漏洞等在實戰中的使用。
② 自己搭建漏洞環境測試，推薦DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得滲透測試的階段，每一個階段需要做那些動作：例如PTES滲透測試執行標準。
④ 深入研究手工SQL注入，尋找繞過waf的方法，制作自己的腳本。
⑤ 研究文件上傳的原理，如何進行截斷、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架。
⑥ 了解XSS形成原理和種類，在DWVA中進行實踐，使用一個含有XSS漏洞的cms，安裝安全狗等進行測試。
⑦ 了解一句話木馬，并嘗試編寫過狗一句話。
⑧ 研究在Windows和Linux下的提升權限，Google關鍵詞：提權

以上就是入門階段