一、网络安全零基础学习路线
📜网络安全行业法规
🐧计算机编程基础
🎯常规安全靶场搭建
🌐渗透测试入门指南
📄OWASP TOP10漏洞解读
🖥️Web安全经典漏洞复现
🕵️SRC漏洞挖掘
🎭护网红蓝攻防对抗
🏆CTF夺旗赛
🚀网络安全实战项目
🗺️网络安全考证指南
📚网络安全面试宝典
二、网络安全30天学习计划
如果你不确定自己是否适合学习网络安全的话,可以参考下面这个30天的零基础学习计划。
如果你能按计划坚持下来,那么表明你适合进一步深入学习。
如果发现自己学着学着就不感兴趣了,那可以考虑换个方向学习!
咱们这个计划遵循“理论 -> 工具 -> 实践 -> 拓展”的螺旋式上升学习路径,同时每个阶段都配有相应的练手项目。
1.学习前的准备
心态准备:网络安全是一个庞大且需要持续学习的领域,30天只能做到“入门”,而不是“精通”。
硬件准备:一台性能还不错的电脑(8G内存以上为宜,4G勉强可以用但会有些卡顿)。
软件准备:
虚拟机软件:VMware Workstation Player(免费)或 VirtualBox(免费)。
靶机系统:下载 Kali Linux(渗透测试专用系统)的虚拟机镜像。
靶场环境:下载 OWASP Broken Web Applications (BWA) 或 WebGoat(故意设计有漏洞的Web应用,用于练习)。
学习方式:每天确保2-4小时的高效学习时间。一定要动手操作!光看是学不会的。
2.第一周:初识网络安全 (Days 1-7)
本周目标:建立网络和系统的基本概念,了解黑客的思维模式和基本工具。
天数 | 学习主题 | 具体内容与任务 | 资源推荐 |
Day 1 | 开启旅程:什么是网络安全? | 1. 了解网络安全的不同领域:Web安全、系统安全、渗透测试、社会工程学等。2. 理解“白帽”、“黑帽”、“灰帽”黑客的区别。 3.最重要的:建立法律与道德红线意识,仅在学习环境和授权范围内进行测试。 | YouTube:搜索“What is Ethical Hacking?” |
Day 2 | 网络基础 I:TCP/IP模型 | 1. 学习TCP/IP四层模型(应用层、传输层、网络层、网络接口层)。 2. 重点理解IP地址、子网掩码、网关、DNS的概念。 3. 在你的电脑上使用 | 书籍:《图解TCP/IP》<br>网站:www.cloudflare.com/learning/ |
Day 3 | 网络基础 II:核心协议 | 1. HTTP/HTTPS:工作原理、请求方法(GET/POST)、状态码(200, 404, 500)。 2. TCP/UDP:三次握手、区别与应用场景。 3. 使用浏览器开发者工具(F12)的“网络(Network)”标签,观察一个网页加载时的所有HTTP请求。 | MDN Web Docs (HTTP协议) |
Day 4 | Linux入门 | 1. 为什么网络安全从业者必须会Linux?Kali Linux就是基于Debian的。 2. 学习基本命令: 3. 学习文件权限: 4. 任务:在你的虚拟机里启动Kali Linux,尝试用命令行完成创建文件、目录等操作。 | 网站:Linux Journey (https://linuxjourney.com/) |
Day 5 | 配置渗透环境 | 1. 在你的虚拟机软件中,熟练完成以下操作: · 克隆虚拟机 · 配置虚拟网络(NAT、桥接模式的区别) 2. 在你的Kali Linux中安装OWASP BWA或WebGoat靶机,并确保Kali能 | 视频网站搜索:“Install OWASP BWA VMware” |
Day 6 | 信息收集 - 侦察 | 1. 学习被动信息收集:Whois查询、DNS枚举( 2. 学习主动信息收集:Ping扫描、Nmap的基本使用( 3. 任务:使用Nmap扫描你的靶机,发现它开放了哪些端口。 | Nmap官方文档:https://nmap.org/ |
Day 7 | 周项目实践与复习 | 本周项目:对一个目标(你的靶机)进行一次完整的信息收集。 1. 使用Whois查找靶机域名(如果有)的信息。 2. 使用 3. 使用Nmap进行端口扫描和服务识别,生成一份简单的侦察报告。 |
3.第二周:Web安全入门 (Days 8-14)
本周目标:理解最常见的Web漏洞原理、利用方法及初步防御。
天数 | 学习主题 | 具体内容与任务 | 资源推荐 |
Day 8 | Web基础与Burp Suite入门 | 1. 复习HTTP协议,理解Cookie和Session的作用。 2. 安装、配置并熟悉渗透测试神器——Burp Suite Community Edition(社区版)。 3. 配置浏览器代理,拦截并修改一个HTTP请求。 | PortSwigger (Burp官网) 的免费教程 |
Day 9 | OWASP Top 10 - A1: 注入 | 1. 学习SQL注入的原理:如何通过用户输入篡改数据库查询。 2. 在WebGoat或BWAPP中找到SQL注入关卡,尝试使用 3. 了解SQLMap工具的基本用法(自动化SQL注入)。 | https://portswigger.net/web-security/sql-injection |
Day 10 | OWASP Top 10 - A2: 失效的身份认证 | 1. 学习常见的认证漏洞:弱口令、暴力破解、会话管理不当。 2. 使用Burp Suite的Intruder模块对一个登录页面进行简单的暴力破解攻击。 | |
Day 11 | OWASP Top 10 - A3: 敏感数据泄露 | 1. 学习哪些是敏感数据(密码、信用卡号、个人信息)。 2. 了解在传输和存储过程中可能存在的泄露点(如HTTP明文传输、错误的服务器配置)。 3. 任务:在浏览器开发者工具或Burp Suite中检查一个网站的HTTP响应,寻找可能泄露的敏感信息。 | |
Day 12 | OWASP Top 10 - A7:XSS跨站脚本 | 1. 学习XSS的原理:恶意脚本在受害者浏览器中执行。 2. 区分反射型XSS和存储型XSS。 3. 尝试构造一个简单的 | https://portswigger.net/web-security/cross-site-scripting |
Day 13 | 综合练习 | 1. 在靶场(如BWAPP)中,选择“Injection”、“XSS”、“Broken Auth”相关的漏洞,逐一进行手动利用。 | https://www.vulnhub.com/ (找一些初级靶机) |
Day 14 | 周项目实践 | 本周项目:攻克一个Web漏洞。 选择一个靶场中的中低难度漏洞(如一个具体的SQL注入或XSS漏洞),从发现到利用,完整地复现一遍,并记录下步骤和使用的Payload。 |
4.第三周:系统安全与工具深化 (Days 15-21)
本周目标:从Web扩展到操作系统,学习常见的系统攻击手法和更强大的工具。
天数 | 学习主题 | 具体内容与任务 | 资源推荐 |
Day 15 | 密码破解 | 1. 了解密码哈希的概念。 2. 学习使用 3. 任务:在Kali中创建一个简单的密码哈希文件,尝试用字典进行破解。 | |
Day 16 | 漏洞扫描 | 1. 学习使用自动化漏洞扫描器,如Nessus(有家庭免费版) 或 OpenVAS。 2. 对你的靶机进行一次扫描,并学习如何阅读和分析扫描报告。 | Tenable Nessus 官网 |
Day 17 | 中间人攻击 (MITM) | 1. 理解ARP欺骗的原理。 2. 学习使用Ettercap或Bettercap工具进行ARP欺骗,监听网络流量。 | |
Day 18 | Metasploit框架入门 | 1. 了解“漏洞(Exploit)”、“载荷(Payload)”的概念。 2. 启动 3. 任务:搜索一个针对Windows系统(如永恒之蓝)的漏洞模块,并尝试对另一个虚拟机进行攻击(确保在隔离环境中进行!)。 | Metasploit Unleashed (免费教程) |
Day 19 | 权限提升基础 | 1. 理解“横向移动”和“纵向提权”(权限提升)。 2. 在Linux和Windows系统上,学习一些基本的信息枚举命令,寻找提权线索(如SUID文件、系统信息、安装的软件等)。 | https://github.com/swisskyrepo/PayloadsAllTheThings |
Day 20 | 社会工程学初探 | 1. 了解什么是社会工程学攻击(钓鱼邮件、伪造网站等)。 2. 学习使用setoolkit (Social-Engineer Toolkit)生成一个简单的钓鱼页面。 | |
Day 21 | 周项目实践 | 本周项目:模拟一次完整的渗透测试。 下载一个VulnHub上的初级CTF靶机(如Mr. Robot, Kioptrix Level 1)。 尝试从信息收集开始,找到入口点,获取初始权限,并尝试提权到root/administrator。记录所有步骤。 | https://www.vulnhub.com/ |
5.第四周:巩固、拓展与总结 (Days 22-30)
本周目标:综合运用前三周的知识,挑战更复杂的项目,并规划未来的学习路径。
天数 | 学习主题 | 具体内容与任务 | 资源推荐 |
Day 22-24 | 综合渗透测试项目 | 终极项目:挑战一个VulnHub或HackTheBox上的中低难度靶机。 花费2-3天的时间,独立完成从外网打点到内网渗透的完整过程。 不要怕卡住,善用Google和提示。这是检验你学习成果的最佳方式。 | HackTheBox (https://www.hackthebox.com/) |
Day 25 | 防御视角:安全运维基础 | 1. 换位思考,学习一些基本的防御措施: · 系统加固(关闭不必要的端口和服务) · 日志分析(查看Apache/Nginx的访问日志,寻找攻击迹象) · 防火墙配置(简单了解iptables或Windows防火墙) | |
Day 26 | CTF比赛与社区 | 1. 了解CTF(Capture The Flag)夺旗赛的常见题型:Web, Pwn, Crypto, Reverse, Misc。 2. 注册一个CTF平台账号(如CTFlearn, OverTheWire),尝试做一些基础的题目。 | https://ctflearn.com/<br>https://overthewire.org/wargames/ |
Day 27 | 编程的重要性 | 1. 认识到编程是进阶的必经之路。 2. 选择一门语言开始学习(Python是首选,用于自动化脚本;Bash用于Linux运维;PowerShell用于Windows环境)。 3. 任务:尝试用Python写一个简单的端口扫描器。 | 《Violent Python》 |
Day 28 | 专业发展路径 | 1. 了解网络安全领域的职业方向:渗透测试、安全分析师、安全工程师、SOC、威胁情报等。 2. 了解主流认证:CEH(理论)、OSCP(硬核实践)、CISSP(管理)。 | |
Day 29-30 | 复习与总结 | 1. 回顾30天的笔记和项目报告。 2. 整理一个属于自己的“黑客兵器库”文档,记录常用命令、工具和Payload。 3. 基于兴趣,选择下一阶段要深入的方向(Web/内网/移动端/二进制安全),并制定新的学习计划。 |
6.给你的建议
记笔记:使用Obsidian、Notion或传统的笔记软件,记录每一天的收获、命令和心得。
别怕犯错:虚拟机就是你随便折腾的沙盒,搞崩了恢复快照即可。
拥抱社区:遇到问题时,善用Google、Stack Overflow、相关工具的官方文档和论坛。也可以在知乎、Freebuf等安全社区提问和学习。
保持激情:30天后,你可能才刚刚推开网络安全世界的大门,但你已经拥有了自主探索的能力。坚持下去,它会给你带来无限的乐趣和成就感。