网络安全学习路线(超详细)

一、网络安全零基础学习路线

📜网络安全行业法规

🐧计算机编程基础

🎯常规安全靶场搭建

🌐渗透测试入门指南

📄OWASP TOP10漏洞解读

🖥️Web安全经典漏洞复现

🕵️SRC漏洞挖掘

🎭护网红蓝攻防对抗

🏆CTF夺旗赛

🚀网络安全实战项目

🗺️网络安全考证指南

📚网络安全面试宝典

二、网络安全30天学习计划

如果你不确定自己是否适合学习网络安全的话,可以参考下面这个30天的零基础学习计划。

如果你能按计划坚持下来,那么表明你适合进一步深入学习。

如果发现自己学着学着就不感兴趣了,那可以考虑换个方向学习!

咱们这个计划遵循“理论 -> 工具 -> 实践 -> 拓展”的螺旋式上升学习路径,同时每个阶段都配有相应的练手项目。

1.学习前的准备

  1. 心态准备:网络安全是一个庞大且需要持续学习的领域,30天只能做到“入门”,而不是“精通”。

  2. 硬件准备:一台性能还不错的电脑(8G内存以上为宜,4G勉强可以用但会有些卡顿)。

  3. 软件准备

    1. 虚拟机软件:VMware Workstation Player(免费)或 VirtualBox(免费)。

    2. 靶机系统:下载 Kali Linux(渗透测试专用系统)的虚拟机镜像。

    3. 靶场环境:下载 OWASP Broken Web Applications (BWA) 或 WebGoat(故意设计有漏洞的Web应用,用于练习)。

  4. 学习方式:每天确保2-4小时的高效学习时间。一定要动手操作!光看是学不会的。


2.第一周:初识网络安全 (Days 1-7)

本周目标:建立网络和系统的基本概念,了解黑客的思维模式和基本工具。

天数

学习主题

具体内容与任务

资源推荐

Day 1

开启旅程:什么是网络安全?

1. 了解网络安全的不同领域:Web安全、系统安全、渗透测试、社会工程学等。2. 理解“白帽”、“黑帽”、“灰帽”黑客的区别。

3.最重要的:建立法律与道德红线意识,仅在学习环境和授权范围内进行测试。

YouTube:搜索“What is Ethical Hacking?”

Day 2

网络基础 I:TCP/IP模型

1. 学习TCP/IP四层模型(应用层、传输层、网络层、网络接口层)。

2. 重点理解IP地址、子网掩码、网关、DNS的概念。

3. 在你的电脑上使用ipconfig(Windows) 或ifconfig(Linux/Mac) 查看自己的网络配置。

书籍:《图解TCP/IP》<br>网站:www.cloudflare.com/learning/

Day 3

网络基础 II:核心协议

1. HTTP/HTTPS:工作原理、请求方法(GET/POST)、状态码(200, 404, 500)。

2. TCP/UDP:三次握手、区别与应用场景。

3. 使用浏览器开发者工具(F12)的“网络(Network)”标签,观察一个网页加载时的所有HTTP请求。

MDN Web Docs (HTTP协议)

Day 4

Linux入门

1. 为什么网络安全从业者必须会Linux?Kali Linux就是基于Debian的。

2. 学习基本命令:ls,cd,pwd,mkdir,rm,cp,mv,cat,grep,find

3. 学习文件权限:chmod,chown

4. 任务:在你的虚拟机里启动Kali Linux,尝试用命令行完成创建文件、目录等操作。

网站:Linux Journey (https://linuxjourney.com/)

Day 5

配置渗透环境

1. 在你的虚拟机软件中,熟练完成以下操作:

· 克隆虚拟机

· 配置虚拟网络(NAT、桥接模式的区别)

2. 在你的Kali Linux中安装OWASP BWA或WebGoat靶机,并确保Kali能ping通靶机。

视频网站搜索:“Install OWASP BWA VMware”

Day 6

信息收集 - 侦察

1. 学习被动信息收集:Whois查询、DNS枚举(nslookup,dig)。

2. 学习主动信息收集:Ping扫描、Nmap的基本使用(-sSSYN扫描)。

3. 任务:使用Nmap扫描你的靶机,发现它开放了哪些端口。

Nmap官方文档:https://nmap.org/

Day 7

周项目实践与复习

本周项目:对一个目标(你的靶机)进行一次完整的信息收集。

1. 使用Whois查找靶机域名(如果有)的信息。

2. 使用dig/nslookup进行DNS查询。

3. 使用Nmap进行端口扫描和服务识别,生成一份简单的侦察报告。


3.第二周:Web安全入门 (Days 8-14)

本周目标:理解最常见的Web漏洞原理、利用方法及初步防御。

天数

学习主题

具体内容与任务

资源推荐

Day 8

Web基础与Burp Suite入门

1. 复习HTTP协议,理解Cookie和Session的作用。

2. 安装、配置并熟悉渗透测试神器——Burp Suite Community Edition(社区版)。

3. 配置浏览器代理,拦截并修改一个HTTP请求。

PortSwigger (Burp官网) 的免费教程

Day 9

OWASP Top 10 - A1: 注入

1. 学习SQL注入的原理:如何通过用户输入篡改数据库查询。

2. 在WebGoat或BWAPP中找到SQL注入关卡,尝试使用'1=1--等Payload进行攻击。

3. 了解SQLMap工具的基本用法(自动化SQL注入)。

https://portswigger.net/web-security/sql-injection

Day 10

OWASP Top 10 - A2: 失效的身份认证

1. 学习常见的认证漏洞:弱口令、暴力破解、会话管理不当。

2. 使用Burp Suite的Intruder模块对一个登录页面进行简单的暴力破解攻击。

Day 11

OWASP Top 10 - A3: 敏感数据泄露

1. 学习哪些是敏感数据(密码、信用卡号、个人信息)。

2. 了解在传输和存储过程中可能存在的泄露点(如HTTP明文传输、错误的服务器配置)。

3. 任务:在浏览器开发者工具或Burp Suite中检查一个网站的HTTP响应,寻找可能泄露的敏感信息。

Day 12

OWASP Top 10 - A7:XSS跨站脚本

1. 学习XSS的原理:恶意脚本在受害者浏览器中执行。

2. 区分反射型XSS和存储型XSS。

3. 尝试构造一个简单的<script>alert('XSS')</script>弹窗Payload。

https://portswigger.net/web-security/cross-site-scripting

Day 13

综合练习

1. 在靶场(如BWAPP)中,选择“Injection”、“XSS”、“Broken Auth”相关的漏洞,逐一进行手动利用。

https://www.vulnhub.com/ (找一些初级靶机)

Day 14

周项目实践

本周项目:攻克一个Web漏洞。

选择一个靶场中的中低难度漏洞(如一个具体的SQL注入或XSS漏洞),从发现到利用,完整地复现一遍,并记录下步骤和使用的Payload。


4.第三周:系统安全与工具深化 (Days 15-21)

本周目标:从Web扩展到操作系统,学习常见的系统攻击手法和更强大的工具。

天数

学习主题

具体内容与任务

资源推荐

Day 15

密码破解

1. 了解密码哈希的概念。

2. 学习使用john(John the Ripper) 和hashcat工具破解哈希。

3. 任务:在Kali中创建一个简单的密码哈希文件,尝试用字典进行破解。

Day 16

漏洞扫描

1. 学习使用自动化漏洞扫描器,如Nessus(有家庭免费版) 或 OpenVAS。

2. 对你的靶机进行一次扫描,并学习如何阅读和分析扫描报告。

Tenable Nessus 官网

Day 17

中间人攻击 (MITM)

1. 理解ARP欺骗的原理。

2. 学习使用EttercapBettercap工具进行ARP欺骗,监听网络流量。

Day 18

Metasploit框架入门

1. 了解“漏洞(Exploit)”、“载荷(Payload)”的概念。

2. 启动msfconsole,学习基本命令:search,use,set,exploit

3. 任务:搜索一个针对Windows系统(如永恒之蓝)的漏洞模块,并尝试对另一个虚拟机进行攻击(确保在隔离环境中进行!)。

Metasploit Unleashed (免费教程)

Day 19

权限提升基础

1. 理解“横向移动”和“纵向提权”(权限提升)。

2. 在Linux和Windows系统上,学习一些基本的信息枚举命令,寻找提权线索(如SUID文件、系统信息、安装的软件等)。

https://github.com/swisskyrepo/PayloadsAllTheThings

Day 20

社会工程学初探

1. 了解什么是社会工程学攻击(钓鱼邮件、伪造网站等)。

2. 学习使用setoolkit (Social-Engineer Toolkit)生成一个简单的钓鱼页面。

Day 21

周项目实践

本周项目:模拟一次完整的渗透测试。

下载一个VulnHub上的初级CTF靶机(如Mr. Robot, Kioptrix Level 1)。

尝试从信息收集开始,找到入口点,获取初始权限,并尝试提权到root/administrator。记录所有步骤。

https://www.vulnhub.com/


5.第四周:巩固、拓展与总结 (Days 22-30)

本周目标:综合运用前三周的知识,挑战更复杂的项目,并规划未来的学习路径。

天数

学习主题

具体内容与任务

资源推荐

Day 22-24

综合渗透测试项目

终极项目:挑战一个VulnHub或HackTheBox上的中低难度靶机。

花费2-3天的时间,独立完成从外网打点到内网渗透的完整过程。

不要怕卡住,善用Google和提示。这是检验你学习成果的最佳方式。

HackTheBox (https://www.hackthebox.com/)

Day 25

防御视角:安全运维基础

1. 换位思考,学习一些基本的防御措施:

· 系统加固(关闭不必要的端口和服务)

· 日志分析(查看Apache/Nginx的访问日志,寻找攻击迹象)

· 防火墙配置(简单了解iptables或Windows防火墙)

Day 26

CTF比赛与社区

1. 了解CTF(Capture The Flag)夺旗赛的常见题型:Web, Pwn, Crypto, Reverse, Misc。

2. 注册一个CTF平台账号(如CTFlearn, OverTheWire),尝试做一些基础的题目。

https://ctflearn.com/<br>https://overthewire.org/wargames/

Day 27

编程的重要性

1. 认识到编程是进阶的必经之路。

2. 选择一门语言开始学习(Python是首选,用于自动化脚本;Bash用于Linux运维;PowerShell用于Windows环境)。

3. 任务:尝试用Python写一个简单的端口扫描器。

《Violent Python》

Day 28

专业发展路径

1. 了解网络安全领域的职业方向:渗透测试、安全分析师、安全工程师、SOC、威胁情报等。

2. 了解主流认证:CEH(理论)、OSCP(硬核实践)、CISSP(管理)。

Day 29-30

复习与总结

1. 回顾30天的笔记和项目报告。

2. 整理一个属于自己的“黑客兵器库”文档,记录常用命令、工具和Payload。

3. 基于兴趣,选择下一阶段要深入的方向(Web/内网/移动端/二进制安全),并制定新的学习计划。

6.给你的建议

  • 记笔记:使用Obsidian、Notion或传统的笔记软件,记录每一天的收获、命令和心得。

  • 别怕犯错:虚拟机就是你随便折腾的沙盒,搞崩了恢复快照即可。

  • 拥抱社区:遇到问题时,善用Google、Stack Overflow、相关工具的官方文档和论坛。也可以在知乎、Freebuf等安全社区提问和学习。

  • 保持激情:30天后,你可能才刚刚推开网络安全世界的大门,但你已经拥有了自主探索的能力。坚持下去,它会给你带来无限的乐趣和成就感。