前言
2023 年的今天,进入网络安全行业需要谨慎评估。目前信息安全方向的就业对于学历的容忍度比软件开发要大得多,行业内存在大量非科班出身但技术过硬的大佬。理由很简单,信息安全的圈子相对较小,985、211 院校建立该专业的时间尚短,加上《网络安全法》的实施,形成了小圈子的排他效应。大佬们的技术交流多在内部进行,完全依赖学历筛选的情况较少,除非是北邮等少数顶尖院校。因此,学习方向不应听信营销号所谓几天入门不需要编程的说法,学好专业课尤其是编程能力至关重要,这直接决定了你的成长天花板。
建议大一阶段先学完编程基础,再深入学习漏洞原理。尝试将所有漏洞自己写个小靶场,编写 Exp,多去复现漏洞,跟踪漏洞形成原理。以下是具体的学习路径参考,路径并不一定最适合所有人,请自主择优选择。
一、基础部分
1. 计算机网络
重点学习 OSI 七层模型和 TCP/IP 四层模型。理解网络协议的工作原理,包括 DNS 解析过程、HTTP/HTTPS 请求响应流程、TCP 三次握手与四次挥手机制。了解网络设备如交换机、路由器、防火墙的基本工作原理及配置方法。掌握子网划分、IP 地址规划等基础知识,这是后续进行流量分析和攻击的基础。
2. Linux 系统及命令
由于市面上约 70% 的 Web 服务器运行在 Linux 系统之上,学习渗透测试必须熟悉 Linux。常见的操作命令需熟练掌握,例如文件管理(ls, cd, cp, mv)、权限控制(chmod, chown)、进程管理(ps, kill)、网络配置(ifconfig, netstat)以及文本处理(grep, sed, awk)。建议遵循二八定律,掌握最常用的 10% 左右的命令适用于 90% 的工作场景。遇到不熟悉的命令及时查阅文档,不必囫囵吞枣地记忆所有命令。
3. Web 框架与语言
前端方面,熟悉 HTML 结构和 JavaScript 脚本语言即可,重点在于理解 DOM 操作和 AJAX 请求。后端 PHP 语言需重点学习,切记不要按照纯开发的思路去学习语言,PHP 最低要求会读懂代码即可,当然会写最好。此外,Java 也是重要的后台开发语言,若精通 Java 将具备更好的代码审计基础。数据库方面,需要学习 SQL 语法,利用 MySQL 练习对应的数据库语法。SQL 的一些高级语法可以了解,但不需要像数据库分析师那样学得太深。
二、Web 安全
1. Web 渗透
掌握 OWASP Top 10 排名靠前的 10 余种常见 Web 漏洞的原理、利用方式及防御措施。推荐靶场包括 DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu 等。有些是综合靶场,有些专门针对某款漏洞。通过靶场练习,将理论知识转化为实际操作能力。
2. 安全工具学习
Web 渗透阶段需要掌握必要的工具。主要工具和平台包括:
- Burp Suite:用于拦截、修改和重放 HTTP 请求。
- AWVS / Appscan:自动化漏洞扫描器。
- Nessus:主机漏洞扫描。
- sqlmap:自动化 SQL 注入工具。
- Nmap:端口扫描和网络探测。
- Shodan / Fofa:搜索引擎,用于资产收集。
- 代理工具:如 SSRS、Hydra、Medusa 等爆破工具。 以上工具的练习完全可以利用开源靶场完成。练习成熟后,可尝试在 SRC 平台渗透真实站点,若涉及绕过 WAF,需针对性学习 WAF 绕过技巧。
3. 自动化渗透
自动化渗透需要掌握一门编程语言并熟练运用。Python 是首选,因为模块丰富,编写脚本方便。无需掌握过多复杂模块,仅需利用其编写工具和脚本。例如一个精简的域名爬虫核心代码可能仅 10-20 行。花几天时间学习 Python 语法,有基础者一天即可完成。接下来可尝试编写常见工具,如爬虫、端口探测、数据包核心内容提取、内网活跃主机扫描等。此类代码网上资源丰富,可结合靶场练习编写 POC 和 EXP 脚本。
# 简单的端口扫描示例
import socket
def scan_port(ip, port):
try:
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.settimeout()
result = s.connect_ex((ip, port))
result == :
()
s.close()
Exception e:
__name__ == :
target_ip =
p (, ):
scan_port(target_ip, p)
