一、网络安全零基础学习路线网络安全行业法规计算机编程基础常规安全靶场搭建渗透测试入门指南OWASP TOP10漏洞解读️Web安全经典漏洞复现️SRC漏洞挖掘护网红蓝攻防对抗CTF夺旗赛网络安全实战项目️网络安全考证指南网络安全面试宝典二、网络安全30天学习计划如果你不确定自己是否适合学习网络安全的话可以参考下面这个30天的零基础学习计划。如果你能按计划坚持下来那么表明你适合进一步深入学习。如果发现自己学着学着就不感兴趣了那可以考虑换个方向学习咱们这个计划遵循“理论 - 工具 - 实践 - 拓展”的螺旋式上升学习路径同时每个阶段都配有相应的练手项目。1.学习前的准备心态准备网络安全是一个庞大且需要持续学习的领域30天只能做到“入门”而不是“精通”。硬件准备一台性能还不错的电脑8G内存以上为宜4G勉强可以用但会有些卡顿。软件准备虚拟机软件VMware Workstation Player免费或 VirtualBox免费。靶机系统下载 Kali Linux渗透测试专用系统的虚拟机镜像。靶场环境下载 OWASP Broken Web Applications (BWA) 或 WebGoat故意设计有漏洞的Web应用用于练习。学习方式每天确保2-4小时的高效学习时间。一定要动手操作光看是学不会的。2.第一周初识网络安全 (Days 1-7)本周目标建立网络和系统的基本概念了解黑客的思维模式和基本工具。天数学习主题具体内容与任务资源推荐Day 1开启旅程什么是网络安全1. 了解网络安全的不同领域Web安全、系统安全、渗透测试、社会工程学等。2. 理解“白帽”、“黑帽”、“灰帽”黑客的区别。3.最重要的建立法律与道德红线意识仅在学习环境和授权范围内进行测试。YouTube搜索“What is Ethical Hacking?”Day 2网络基础 ITCP/IP模型1. 学习TCP/IP四层模型应用层、传输层、网络层、网络接口层。2. 重点理解IP地址、子网掩码、网关、DNS的概念。3. 在你的电脑上使用ipconfig(Windows) 或ifconfig(Linux/Mac) 查看自己的网络配置。书籍《图解TCP/IP》br网站www.cloudflare.com/learning/Day 3网络基础 II核心协议1. HTTP/HTTPS工作原理、请求方法GET/POST、状态码200, 404, 500。2. TCP/UDP三次握手、区别与应用场景。3. 使用浏览器开发者工具F12的“网络(Network)”标签观察一个网页加载时的所有HTTP请求。MDN Web Docs (HTTP协议)Day 4Linux入门1. 为什么网络安全从业者必须会LinuxKali Linux就是基于Debian的。2. 学习基本命令ls,cd,pwd,mkdir,rm,cp,mv,cat,grep,find。3. 学习文件权限chmod,chown。4. 任务在你的虚拟机里启动Kali Linux尝试用命令行完成创建文件、目录等操作。网站Linux Journey (https://linuxjourney.com/)Day 5配置渗透环境1. 在你的虚拟机软件中熟练完成以下操作· 克隆虚拟机· 配置虚拟网络NAT、桥接模式的区别2. 在你的Kali Linux中安装OWASP BWA或WebGoat靶机并确保Kali能ping通靶机。视频网站搜索“Install OWASP BWA VMware”Day 6信息收集 - 侦察1. 学习被动信息收集Whois查询、DNS枚举nslookup,dig。2. 学习主动信息收集Ping扫描、Nmap的基本使用-sSSYN扫描。3. 任务使用Nmap扫描你的靶机发现它开放了哪些端口。Nmap官方文档https://nmap.org/Day 7周项目实践与复习本周项目对一个目标你的靶机进行一次完整的信息收集。1. 使用Whois查找靶机域名如果有的信息。2. 使用dig/nslookup进行DNS查询。3. 使用Nmap进行端口扫描和服务识别生成一份简单的侦察报告。3.第二周Web安全入门 (Days 8-14)本周目标理解最常见的Web漏洞原理、利用方法及初步防御。天数学习主题具体内容与任务资源推荐Day 8Web基础与Burp Suite入门1. 复习HTTP协议理解Cookie和Session的作用。2. 安装、配置并熟悉渗透测试神器——Burp Suite Community Edition社区版。3. 配置浏览器代理拦截并修改一个HTTP请求。PortSwigger (Burp官网) 的免费教程Day 9OWASP Top 10 - A1: 注入1. 学习SQL注入的原理如何通过用户输入篡改数据库查询。2. 在WebGoat或BWAPP中找到SQL注入关卡尝试使用或11--等Payload进行攻击。3. 了解SQLMap工具的基本用法自动化SQL注入。https://portswigger.net/web-security/sql-injectionDay 10OWASP Top 10 - A2: 失效的身份认证1. 学习常见的认证漏洞弱口令、暴力破解、会话管理不当。2. 使用Burp Suite的Intruder模块对一个登录页面进行简单的暴力破解攻击。Day 11OWASP Top 10 - A3: 敏感数据泄露1. 学习哪些是敏感数据密码、信用卡号、个人信息。2. 了解在传输和存储过程中可能存在的泄露点如HTTP明文传输、错误的服务器配置。3. 任务在浏览器开发者工具或Burp Suite中检查一个网站的HTTP响应寻找可能泄露的敏感信息。Day 12OWASP Top 10 - A7:XSS跨站脚本1. 学习XSS的原理恶意脚本在受害者浏览器中执行。2. 区分反射型XSS和存储型XSS。3. 尝试构造一个简单的scriptalert(XSS)/script弹窗Payload。https://portswigger.net/web-security/cross-site-scriptingDay 13综合练习1. 在靶场如BWAPP中选择“Injection”、“XSS”、“Broken Auth”相关的漏洞逐一进行手动利用。https://www.vulnhub.com/ (找一些初级靶机)Day 14周项目实践本周项目攻克一个Web漏洞。选择一个靶场中的中低难度漏洞如一个具体的SQL注入或XSS漏洞从发现到利用完整地复现一遍并记录下步骤和使用的Payload。4.第三周系统安全与工具深化 (Days 15-21)本周目标从Web扩展到操作系统学习常见的系统攻击手法和更强大的工具。天数学习主题具体内容与任务资源推荐Day 15密码破解1. 了解密码哈希的概念。2. 学习使用john(John the Ripper) 和hashcat工具破解哈希。3. 任务在Kali中创建一个简单的密码哈希文件尝试用字典进行破解。Day 16漏洞扫描1. 学习使用自动化漏洞扫描器如Nessus(有家庭免费版) 或 OpenVAS。2. 对你的靶机进行一次扫描并学习如何阅读和分析扫描报告。Tenable Nessus 官网Day 17中间人攻击 (MITM)1. 理解ARP欺骗的原理。2. 学习使用Ettercap或Bettercap工具进行ARP欺骗监听网络流量。Day 18Metasploit框架入门1. 了解“漏洞(Exploit)”、“载荷(Payload)”的概念。2. 启动msfconsole学习基本命令search,use,set,exploit。3. 任务搜索一个针对Windows系统如永恒之蓝的漏洞模块并尝试对另一个虚拟机进行攻击确保在隔离环境中进行。Metasploit Unleashed (免费教程)Day 19权限提升基础1. 理解“横向移动”和“纵向提权”权限提升。2. 在Linux和Windows系统上学习一些基本的信息枚举命令寻找提权线索如SUID文件、系统信息、安装的软件等。https://github.com/swisskyrepo/PayloadsAllTheThingsDay 20社会工程学初探1. 了解什么是社会工程学攻击钓鱼邮件、伪造网站等。2. 学习使用setoolkit (Social-Engineer Toolkit)生成一个简单的钓鱼页面。Day 21周项目实践本周项目模拟一次完整的渗透测试。下载一个VulnHub上的初级CTF靶机如Mr. Robot, Kioptrix Level 1。尝试从信息收集开始找到入口点获取初始权限并尝试提权到root/administrator。记录所有步骤。https://www.vulnhub.com/5.第四周巩固、拓展与总结 (Days 22-30)本周目标综合运用前三周的知识挑战更复杂的项目并规划未来的学习路径。天数学习主题具体内容与任务资源推荐Day 22-24综合渗透测试项目终极项目挑战一个VulnHub或HackTheBox上的中低难度靶机。花费2-3天的时间独立完成从外网打点到内网渗透的完整过程。不要怕卡住善用Google和提示。这是检验你学习成果的最佳方式。HackTheBox (https://www.hackthebox.com/)Day 25防御视角安全运维基础1. 换位思考学习一些基本的防御措施· 系统加固关闭不必要的端口和服务· 日志分析查看Apache/Nginx的访问日志寻找攻击迹象· 防火墙配置简单了解iptables或Windows防火墙Day 26CTF比赛与社区1. 了解CTFCapture The Flag夺旗赛的常见题型Web, Pwn, Crypto, Reverse, Misc。2. 注册一个CTF平台账号如CTFlearn, OverTheWire尝试做一些基础的题目。https://ctflearn.com/brhttps://overthewire.org/wargames/Day 27编程的重要性1. 认识到编程是进阶的必经之路。2. 选择一门语言开始学习Python是首选用于自动化脚本Bash用于Linux运维PowerShell用于Windows环境。3. 任务尝试用Python写一个简单的端口扫描器。《Violent Python》Day 28专业发展路径1. 了解网络安全领域的职业方向渗透测试、安全分析师、安全工程师、SOC、威胁情报等。2. 了解主流认证CEH理论、OSCP硬核实践、CISSP管理。Day 29-30复习与总结1. 回顾30天的笔记和项目报告。2. 整理一个属于自己的“黑客兵器库”文档记录常用命令、工具和Payload。3. 基于兴趣选择下一阶段要深入的方向Web/内网/移动端/二进制安全并制定新的学习计划。6.给你的建议记笔记使用Obsidian、Notion或传统的笔记软件记录每一天的收获、命令和心得。别怕犯错虚拟机就是你随便折腾的沙盒搞崩了恢复快照即可。拥抱社区遇到问题时善用Google、Stack Overflow、相关工具的官方文档和论坛。也可以在知乎、Freebuf等安全社区提问和学习。保持激情30天后你可能才刚刚推开网络安全世界的大门但你已经拥有了自主探索的能力。坚持下去它会给你带来无限的乐趣和成就感。
网络安全学习路线(超详细)
一、网络安全零基础学习路线网络安全行业法规计算机编程基础常规安全靶场搭建渗透测试入门指南OWASP TOP10漏洞解读️Web安全经典漏洞复现️SRC漏洞挖掘护网红蓝攻防对抗CTF夺旗赛网络安全实战项目️网络安全考证指南网络安全面试宝典二、网络安全30天学习计划如果你不确定自己是否适合学习网络安全的话可以参考下面这个30天的零基础学习计划。如果你能按计划坚持下来那么表明你适合进一步深入学习。如果发现自己学着学着就不感兴趣了那可以考虑换个方向学习咱们这个计划遵循“理论 - 工具 - 实践 - 拓展”的螺旋式上升学习路径同时每个阶段都配有相应的练手项目。1.学习前的准备心态准备网络安全是一个庞大且需要持续学习的领域30天只能做到“入门”而不是“精通”。硬件准备一台性能还不错的电脑8G内存以上为宜4G勉强可以用但会有些卡顿。软件准备虚拟机软件VMware Workstation Player免费或 VirtualBox免费。靶机系统下载 Kali Linux渗透测试专用系统的虚拟机镜像。靶场环境下载 OWASP Broken Web Applications (BWA) 或 WebGoat故意设计有漏洞的Web应用用于练习。学习方式每天确保2-4小时的高效学习时间。一定要动手操作光看是学不会的。2.第一周初识网络安全 (Days 1-7)本周目标建立网络和系统的基本概念了解黑客的思维模式和基本工具。天数学习主题具体内容与任务资源推荐Day 1开启旅程什么是网络安全1. 了解网络安全的不同领域Web安全、系统安全、渗透测试、社会工程学等。2. 理解“白帽”、“黑帽”、“灰帽”黑客的区别。3.最重要的建立法律与道德红线意识仅在学习环境和授权范围内进行测试。YouTube搜索“What is Ethical Hacking?”Day 2网络基础 ITCP/IP模型1. 学习TCP/IP四层模型应用层、传输层、网络层、网络接口层。2. 重点理解IP地址、子网掩码、网关、DNS的概念。3. 在你的电脑上使用ipconfig(Windows) 或ifconfig(Linux/Mac) 查看自己的网络配置。书籍《图解TCP/IP》br网站www.cloudflare.com/learning/Day 3网络基础 II核心协议1. HTTP/HTTPS工作原理、请求方法GET/POST、状态码200, 404, 500。2. TCP/UDP三次握手、区别与应用场景。3. 使用浏览器开发者工具F12的“网络(Network)”标签观察一个网页加载时的所有HTTP请求。MDN Web Docs (HTTP协议)Day 4Linux入门1. 为什么网络安全从业者必须会LinuxKali Linux就是基于Debian的。2. 学习基本命令ls,cd,pwd,mkdir,rm,cp,mv,cat,grep,find。3. 学习文件权限chmod,chown。4. 任务在你的虚拟机里启动Kali Linux尝试用命令行完成创建文件、目录等操作。网站Linux Journey (https://linuxjourney.com/)Day 5配置渗透环境1. 在你的虚拟机软件中熟练完成以下操作· 克隆虚拟机· 配置虚拟网络NAT、桥接模式的区别2. 在你的Kali Linux中安装OWASP BWA或WebGoat靶机并确保Kali能ping通靶机。视频网站搜索“Install OWASP BWA VMware”Day 6信息收集 - 侦察1. 学习被动信息收集Whois查询、DNS枚举nslookup,dig。2. 学习主动信息收集Ping扫描、Nmap的基本使用-sSSYN扫描。3. 任务使用Nmap扫描你的靶机发现它开放了哪些端口。Nmap官方文档https://nmap.org/Day 7周项目实践与复习本周项目对一个目标你的靶机进行一次完整的信息收集。1. 使用Whois查找靶机域名如果有的信息。2. 使用dig/nslookup进行DNS查询。3. 使用Nmap进行端口扫描和服务识别生成一份简单的侦察报告。3.第二周Web安全入门 (Days 8-14)本周目标理解最常见的Web漏洞原理、利用方法及初步防御。天数学习主题具体内容与任务资源推荐Day 8Web基础与Burp Suite入门1. 复习HTTP协议理解Cookie和Session的作用。2. 安装、配置并熟悉渗透测试神器——Burp Suite Community Edition社区版。3. 配置浏览器代理拦截并修改一个HTTP请求。PortSwigger (Burp官网) 的免费教程Day 9OWASP Top 10 - A1: 注入1. 学习SQL注入的原理如何通过用户输入篡改数据库查询。2. 在WebGoat或BWAPP中找到SQL注入关卡尝试使用或11--等Payload进行攻击。3. 了解SQLMap工具的基本用法自动化SQL注入。https://portswigger.net/web-security/sql-injectionDay 10OWASP Top 10 - A2: 失效的身份认证1. 学习常见的认证漏洞弱口令、暴力破解、会话管理不当。2. 使用Burp Suite的Intruder模块对一个登录页面进行简单的暴力破解攻击。Day 11OWASP Top 10 - A3: 敏感数据泄露1. 学习哪些是敏感数据密码、信用卡号、个人信息。2. 了解在传输和存储过程中可能存在的泄露点如HTTP明文传输、错误的服务器配置。3. 任务在浏览器开发者工具或Burp Suite中检查一个网站的HTTP响应寻找可能泄露的敏感信息。Day 12OWASP Top 10 - A7:XSS跨站脚本1. 学习XSS的原理恶意脚本在受害者浏览器中执行。2. 区分反射型XSS和存储型XSS。3. 尝试构造一个简单的scriptalert(XSS)/script弹窗Payload。https://portswigger.net/web-security/cross-site-scriptingDay 13综合练习1. 在靶场如BWAPP中选择“Injection”、“XSS”、“Broken Auth”相关的漏洞逐一进行手动利用。https://www.vulnhub.com/ (找一些初级靶机)Day 14周项目实践本周项目攻克一个Web漏洞。选择一个靶场中的中低难度漏洞如一个具体的SQL注入或XSS漏洞从发现到利用完整地复现一遍并记录下步骤和使用的Payload。4.第三周系统安全与工具深化 (Days 15-21)本周目标从Web扩展到操作系统学习常见的系统攻击手法和更强大的工具。天数学习主题具体内容与任务资源推荐Day 15密码破解1. 了解密码哈希的概念。2. 学习使用john(John the Ripper) 和hashcat工具破解哈希。3. 任务在Kali中创建一个简单的密码哈希文件尝试用字典进行破解。Day 16漏洞扫描1. 学习使用自动化漏洞扫描器如Nessus(有家庭免费版) 或 OpenVAS。2. 对你的靶机进行一次扫描并学习如何阅读和分析扫描报告。Tenable Nessus 官网Day 17中间人攻击 (MITM)1. 理解ARP欺骗的原理。2. 学习使用Ettercap或Bettercap工具进行ARP欺骗监听网络流量。Day 18Metasploit框架入门1. 了解“漏洞(Exploit)”、“载荷(Payload)”的概念。2. 启动msfconsole学习基本命令search,use,set,exploit。3. 任务搜索一个针对Windows系统如永恒之蓝的漏洞模块并尝试对另一个虚拟机进行攻击确保在隔离环境中进行。Metasploit Unleashed (免费教程)Day 19权限提升基础1. 理解“横向移动”和“纵向提权”权限提升。2. 在Linux和Windows系统上学习一些基本的信息枚举命令寻找提权线索如SUID文件、系统信息、安装的软件等。https://github.com/swisskyrepo/PayloadsAllTheThingsDay 20社会工程学初探1. 了解什么是社会工程学攻击钓鱼邮件、伪造网站等。2. 学习使用setoolkit (Social-Engineer Toolkit)生成一个简单的钓鱼页面。Day 21周项目实践本周项目模拟一次完整的渗透测试。下载一个VulnHub上的初级CTF靶机如Mr. Robot, Kioptrix Level 1。尝试从信息收集开始找到入口点获取初始权限并尝试提权到root/administrator。记录所有步骤。https://www.vulnhub.com/5.第四周巩固、拓展与总结 (Days 22-30)本周目标综合运用前三周的知识挑战更复杂的项目并规划未来的学习路径。天数学习主题具体内容与任务资源推荐Day 22-24综合渗透测试项目终极项目挑战一个VulnHub或HackTheBox上的中低难度靶机。花费2-3天的时间独立完成从外网打点到内网渗透的完整过程。不要怕卡住善用Google和提示。这是检验你学习成果的最佳方式。HackTheBox (https://www.hackthebox.com/)Day 25防御视角安全运维基础1. 换位思考学习一些基本的防御措施· 系统加固关闭不必要的端口和服务· 日志分析查看Apache/Nginx的访问日志寻找攻击迹象· 防火墙配置简单了解iptables或Windows防火墙Day 26CTF比赛与社区1. 了解CTFCapture The Flag夺旗赛的常见题型Web, Pwn, Crypto, Reverse, Misc。2. 注册一个CTF平台账号如CTFlearn, OverTheWire尝试做一些基础的题目。https://ctflearn.com/brhttps://overthewire.org/wargames/Day 27编程的重要性1. 认识到编程是进阶的必经之路。2. 选择一门语言开始学习Python是首选用于自动化脚本Bash用于Linux运维PowerShell用于Windows环境。3. 任务尝试用Python写一个简单的端口扫描器。《Violent Python》Day 28专业发展路径1. 了解网络安全领域的职业方向渗透测试、安全分析师、安全工程师、SOC、威胁情报等。2. 了解主流认证CEH理论、OSCP硬核实践、CISSP管理。Day 29-30复习与总结1. 回顾30天的笔记和项目报告。2. 整理一个属于自己的“黑客兵器库”文档记录常用命令、工具和Payload。3. 基于兴趣选择下一阶段要深入的方向Web/内网/移动端/二进制安全并制定新的学习计划。6.给你的建议记笔记使用Obsidian、Notion或传统的笔记软件记录每一天的收获、命令和心得。别怕犯错虚拟机就是你随便折腾的沙盒搞崩了恢复快照即可。拥抱社区遇到问题时善用Google、Stack Overflow、相关工具的官方文档和论坛。也可以在知乎、Freebuf等安全社区提问和学习。保持激情30天后你可能才刚刚推开网络安全世界的大门但你已经拥有了自主探索的能力。坚持下去它会给你带来无限的乐趣和成就感。