网络安全学习路线图请收好！

第一部分：基础篇。

主要包括安全导论、安全法律法规、操作系统应用、计算机网络、HTML&JS、PHP编程、Python编程和Docker基础知识。让初级入门的人员对网络安全基础有所了解。

第二部分：Web安全。

包含Web安全概述、Web安全基础、Web安全漏洞及防御和企业Web安全防护策略方面的安全知识。让初学者入门学习Web安全知识。

第三部分：渗透测试。

这个阶段包括的内容有，渗透测试概述、渗透测试环境搭建、渗透测试工具使用、信息收集与社工技巧、Web渗透、中间件渗透和内网渗透等知识。

第四部分：代码审计。

包括了代码审计概述、PHP代码审计、Python代码审计、Java代码审计、C/C++代码审计和代码审计实战的知识，深入学习各类代码审计的知识。

第五部分：安全加固。

这个阶段的学习，可以深入学习网络协议安全、密码学及应用、操作系统安全配置等方面的重要知识点。

第六部分：企业篇。

学习企业安全建设、等保原理、等保制度建设以及等保测评实践。最后部分是深入了解企业级项目的实战学习。



网络安全学习目标：

1.熟悉网络协议的工作原理和底层机制（TCP/IP协议栈、路由协议、交换协议、安全协议）

2.熟悉大中型企业网/校园网/城域网/政务网/电信网的设计与部署

3.熟悉网络和安全设备的配置和调试(路由器/交换机/防火墙/VPN/入侵检测）

4.熟悉wireshark流量抓包，协议分析，流量管控

5.熟悉WLAN无线聚优网架构与WiFi安全攻防技术

6.熟悉Kali Linux渗透测试原理与实践（Metasploit、Nessus、Nmap等）

7.熟悉Web前端开发，熟悉HTML/CSS等技术，能独立编写前端页面

8.熟悉Web后端开发，通过Python/Django框架，能独立编写网站与博客

9.熟悉Web渗透原理与实践，掌握OWASP TOP10 漏洞，通过Google和Shodan Hacking的方式对网站进行信息探测，利用Web漏扫如BurpSuit、AWVS、Appscan对站点执行安全评估，掌握常见Web漏洞利用，；例如SQL注入、文件上传、webshell、木马编写、命令执行、XSS跨站脚本攻击、CSRP跨站伪造请求等。

10.熟悉信息安全登记保护原理与项目案例

你知道以下基础知识点吗？

• 是否能够从零开始搭建起一个网站？（网站架构）

• 是否了解过 HTTP 协议原理？例如用抓包软件分析过 HTTP请求和响应包有什么内容？（Web通信协议）

• 是否能看懂网页源码，或者用 HTML / CSS / JavaScript 做过前端页面？（Web前端）

• 是否清楚什么是 MVC/MTV 架构，或者用 Python / PHP / Java 做过后端架构？（Web后端 ）

• 是否了解过常见的 Web容器/中间件，或者用过 Apache / Nginx / Tomcat？（Web容器）

• 是否掌握任一常见的数据库技术，包括但不限于 MySQL / SQLsever / Oracle？（数据库）

如果不知道，请从基础开始。切记，刚入门的学员千万不要把入门学习就把重心放在后面的安全渗透，因为脱离了脱离 Web 技术搞安全渗透，这就属于典型的本末倒置。

要真正学懂学通网络安全渗透，一定需要一个科学合理、循序渐进、第一原理驱动的学习路线，千万不要瞎折腾，不要急着学渗透，更不要一上来就用工具。因为 Web 安全渗透技术，首先是建立在 Web 技术之上的，绕开这些技术谈安全谈渗透，那便是 "空中楼阁"。

网络安全培训认准知了堂。