30 天网络安全入门学习计划(Web+Misc 方向)
适配零基础入门,全程围绕 Burp Suite 实操 + CTF 基础刷题,聚焦 Web 安全(核心)+ 杂项(Misc)入门,使用平台为 CTFHub(主打)+Bugku CTF(辅)+ 攻防世界(进阶),每天任务控制在 1.5-2 小时,分基础打牢(1-10 天)、漏洞进阶 + Misc 入门(11-20 天)、综合刷题 + 能力提升(21-30 天)三个阶段,核心任务必做、拓展任务可选。
通用要求
- 全程用 Burp Suite 作为核心工具,每道题尽量用 Burp 抓包 / 分析,熟练工具基础操作;
- 遇到不会的题先独立思考 30 分钟,再看平台 Writeup(题解),并整理错题和知识点;
- 所有操作均在合规平台进行,不擅自对第三方网站测试。
第一阶段:基础打牢(1-10 天)——Burp 实操 + Web 基础 + CTFHub 入门
核心目标:熟练 Burp 基础操作、掌握 HTTP 协议核心知识点、完成 CTFHub Web 前置技能入门,能独立解基础抓包题。
| 天数 | 核心任务(必做,1.5h) | 拓展任务(可选,0.5h) | 重点掌握 |
|---|---|---|---|
| 1 | 1. Burp 重新配置 + 抓包实操(代理设置、拦截 / 放行 / 丢弃、重放器使用)2. CTFHub「技能树 - Web-HTTP 协议」完成第 1 题(HTTP 请求方法) | 浏览器代理设置反复练习 3 次,确保无卡顿 | 127.0.0.1:8080 代理原理、Burp 重放器基本使用、GET 请求格式 |
| 2 | 1. Burp 中查看数据包的请求头 / 响应头 / 状态码(200/404/302)2. CTFHub HTTP 协议完成 2-3 题(基础状态码 / 请求头) | 整理常见 HTTP 状态码含义(手写 10 个核心) | HTTP 常见状态码、User-Agent/Referer 请求头作用 |
| 3 | 1. Burp 编码器使用(URL 编码 / Base64 编码)2. CTFHub HTTP 协议完成 4-5 题(编码相关) | 用 Burp 手动对任意字符串做 URL/Base64 编解码 | URL 编码(特殊字符 % 转义)、Base64 基础编码规则 |
| 4 | 1. 学习 HTTP 请求方法(GET/POST 核心区别)2. Burp 抓包修改请求方法,观察服务器响应 3. CTFHub 完成 POST 请求专项题 | 用 Burp 将 GET 请求改为 POST 请求,分析差异 | GET(参数在 URL)、POST(参数在请求体)、Burp 修改请求体 |
| 5 | 1. 学习 Cookie/Session 基础概念 2. Burp 抓包查看并修改 Cookie,完成 CTFHub Cookie 专项题 | 清除浏览器 Cookie 后,用 Burp 手动添加 Cookie 访问目标 | Cookie 的作用、Burp 修改 Cookie 的实操步骤 |
| 6 | 1. CTFHub「Web 前置技能」全部完成(共 10 题左右)2. 整理该模块所有错题,标注知识点漏洞 | 重新做 1 道最易错题,确保完全理解 | Web 前置技能全知识点、错题复盘方法 |
| 7 | 1. 学习 SQL 注入入门(单引号闭合 / 万能密码)2. CTFHub「SQL 注入 - 基础注入」完成第 1 题 | 记住万能密码(admin' or 1=1#)的原理 | SQL 注入基础原理、单引号闭合的作用 |
| 8 | 1. Burp 抓包辅助解 SQL 注入题,修改参数测试 2. CTFHub 基础注入完成 2-3 题 | 整理 SQL 注入的 3 个基础测试步骤 | Burp 抓包修改 URL 参数、SQL 注入基础测试思路 |
| 9 | 1. 学习 XSS 跨站脚本入门(反射型 XSS)2. CTFHub「XSS - 基础反射型」完成 1-2 题 | 用 Burp 构造简单 XSS 语句() | 反射型 XSS 原理、基础 XSS 语句构造 |
