文档由齐鲁师范学院网络安全社团授权发布，关注官方公众号获得更多技术类文章

入门

安全职业介绍

以下几项没有先后顺序，不是说要把编程语言精通之后再去学习后边的，而是可以一边学语言一边学漏洞，自己不知道咋规划建议看学习资料-综合教程部分，入门还是以CTF为主

前导

提问的智慧
https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md
以下根据自己的学习方法来，如果觉得看字太慢的话，可以看视频，不管咋学都要记笔记

1.编程语言

学编程语言一定要跟着教程练习，步骤都跟着做一遍，记笔记

• PHP：https://www.runoob.com/php/php-tutorial.html
• Python：https://www.liaoxuefeng.com/wiki/1016959663602400
  入门阶段不需要精通，代码可以读懂，可以写简单的代码就可以

2.Linux环境

1. 熟悉Linux基本命令（https://shimo.im/docs/vrTgvx8c8kWwx998） Debian、Ubuntu、Centos这些系统尽管命令不是全部相同，但是大体一致
2. 能够使用LNMP或者LAMP搭建环境(Windows下PHPstudy必会，lnmp在kali里边有)

3.漏洞学习

视频教程：

https://www.zhaoj.in/read-6321.html

熟悉漏洞原理，熟悉利用方法

https://vulwiki.readthedocs.io/

1. SQL注入

2. 命令\代码执行漏洞

3. 文件上传漏洞

4. 文件包含漏洞（做CTF web题目常见）

5. SSRF漏洞

6. 反序列化漏洞

7. XXE漏洞

8. SSTI

9. 等

CTF是入门好方法，之后的比赛也是CTF

4.CTF练习

1. 攻防世界 https://adworld.xctf.org.cn/task

   1. MISC

   2. WEB

   3. CRYPTO
      2.BUUCTF：https://buuoj.cn/login?next=%2Fchallenges%3F

   4. MISC

   5. WEB

   6. CRYPTO
      buu分类练习文档：https://shimo.im/docs/B9PKtXo2lUMmzIJv/

2. 靶场

ctfshow
https://ctf.show/收费的，但是题目质量不错，很多大佬都是刷题刷出来的
重生信息安全在线靶场：
https://bc.csxa.cn
网络信息安全攻防学习平台：
http://hackinglab.cn
墨者学院在线靶场：
https://www.mozhe.cn/bug
封神台在线演练靶场：
https://hack.zkaq.cn/battle
安鸾渗透实战平台：
http://www.whalwl.cn/home
XSS Challenges：
http://xss-quiz.int21h.jp
漏洞靶场
DVWA：
http://www.dvwa.co.uk
BWVS：
https://github.com/bugku/BWVS
Sqli-Labs：
https://github.com/Audi-1/sqli-labs
Webug 3.0：
https://pan.baidu.com/s/1eRIB3Se
Upload-labs：
https://github.com/c0ny1/upload-labs
DVWA-WooYun：
https://sourceforge.net/projects/dvwa-wooyun

4.社区论坛:

先知社区:https://xz.aliyun.com
安全客：https://www.anquanke.com
freebuf：https://www.freebuf.com
看雪：https://www.kanxue.com
吾爱破解：https://www.52pojie.cn
404paper:https://paper.seebug.org
补天社区：https://forum.butian.net
SEC-IN:https://www.sec-in.com

5.学习资料：

视频教程

综合教程：

根据自己的学习方法选一套就行

• https://www.bilibili.com/video/BV1Lf4y1t7Mc P123开始

• https://www.bugbank.cn/live/xiaobai

• https://pan.baidu.com/s/1g0yR8WJZI1LEeaMyxIfYaA?pwd=zw82
  单项教程：

• Python3：链接：https://pan.baidu.com/s/1c460DSyyhOurdHZBEh8FEQ 提取码：bSB6
  或者 https://www.icourse163.org/learn/BIT-268001?tid=1207014257#/learn/content （图形不用学）

https://www.icourse163.org/course/BIT-1001870001

百度网盘和MOOC二选一，最后作业以实际做出的项目上交

• PHP：https://www.w3school.com.cn/php/index.asp
  链接: https://pan.baidu.com/s/1qSK9ewPDrFhfEJxlQs0uLg 提取码: ohee

https://ke.qq.com/course/471769?taid=4018470186857177

要求：能够读懂别人的PHP代码(可以查阅资料)

最好是能够使用PHP开发简单的网站

• Golang https://www.bilibili.com/video/BV1Uq4y1Q7Jn
  新兴语言，学完基础后就去看看golang怎么写爬虫，剩下的多搜索学习吧

文字教程

• CTF推荐仔细看看CTFwiki：https://wiki.x10sec.org/ 里面一些例题自己做做也挺好
  CTF练习题目 以提交的WriteUp为准（以上不要求都做完 尽最大可能做，主要在于总结题型，熟悉套路）

• CTF入门手册：链接：https://pan.baidu.com/s/14zuYUZfYzmoW2ervMXhDwQ
  提取码：1e2x

请根据自己情况制定自己详细学习计划

不懈努力，你可以收获一个更好的自己，可以养成一个坚持学习的习惯，可以提高自己的学习能力。

每天进步一点点，让优秀逐渐成为一种习惯！！！

进阶

在入门阶段基本完成后，可以开始进阶部分，进阶部分最要分为以下几个方向（其实环环相扣）

以下内容安全客 freebuf 先知以及一些师傅博客有大量文章

• CTF深入学习
• 代码审计
• 漏洞复现

CTF深度学习

CTF比赛越来越卷，难度在逐年提升，从PHP永远第一逐渐变成ctf边缘人，时代在进步，也就对Ctfer提出了更高的要求，对ctf比赛的出现的新的考察方法简单罗列

1. PHP 其他深层次利用点（框架漏洞、pop反序列化、冷门知识）
2. Python SSTI、Python反序列化
3. Java 反序列化漏洞，各种gadget
4. nodejs 原型链污染
5. go 反序列化（偶尔出）
6. CVE 漏洞利用 (主流CVE https://vulhub.org)
7. AWD
8. 题可以buu上找
   可以发现其他语言也逐渐成为了CTF的考点，在学习漏洞的过程中，不要想着先把语言基础搞得扎实在学漏洞，时间成本太高，而且很容易脱离网安领域转向开发。正确的打开方式是：简单学习基础（看几篇文章），然后去看漏洞原理，遇到不会的再百度基础，不要脱离初衷

CTF方向大佬博客链接汇总：链接

代码审计

安全客 freebuf 先知也有大量文章

代码审计也是CTF中经常遇到的题目，相比CTF中的审计最多就几十行，真实的代码审计以项目为主

因为代码审计对于语言基础（语言可以选择 PHP 或者 Java）要求比较高，看不懂就读不懂，这时候就可以去补一补语言，建议找一个中型web项目学习，跟着搞一遍代码，而不是从变量定义开始重新来过

学习完毕后去实际审计代码，先从有已知漏洞小型cms开始，然后审计框架

PHP和Java有很大不同，但在漏洞的原理上都是相通的，可以先看php的主流框架和CMS去复现和挖掘，后面慢慢转Java，多找一些大师傅的博客去看，跟着大师傅的博客学习，下面列出一些知识较为系统的博客

https://github.com/burpheart/PHPAuditGuideBook

https://cz0.gitbook.io/phpauditguidebook/

推荐博客：

1. https://www.cnblogs.com/nice0e3/
2. https://www.cnblogs.com/tr1ple/
3. https://www.cnblogs.com/bmjoker/
4. https://landgrey.me/
5. https://p0rz9.github.io/
6. https://www.cnblogs.com/afanti/p/13156152.html
7. https://www.o2oxy.cn
8. https://su18.org
9. github.com

漏洞复现

ocean：漏洞复现很 简单的，脚本一跑拿shell不就完了

谁不想做个快乐的脚本小子呢，可是这样复现了有啥用呢，啥也没学会

复现的过程中应该考虑，复现的漏洞是什么，影响到的web服务有哪些以及服务的作用、漏洞原理、漏洞利用方法最后是漏洞修复方法

关于漏洞复现如果是小型cms环境搭建比较简单，可以自己搭建学习，也可以用别人写好的docker环境（推荐：https://vulhub.org）

实战

注：主力战队可以享受学长学姐留下来的漏洞报告、亲自指导，在你原有基础上帮助你快速提升实战水平。

实战主要分为外网、内网、代码审计

https://github.com/MrWQ/vulnerability-paper

tools:https://www.t00ls.cc  (需要投稿获取邀请码)
90sec:https://forum.90sec.com
火线：https://zone.huoxian.cn

外网

如果你把上面的学的差不多了，外网基本没问题，不过需要注意的是外网的打点主要是能获取权限的漏洞，其次是能获取数据的漏洞

• java内存马
• shiro、weblogic、OA漏洞等等
  全部的CVE

https://github.com/nomi-sec/PoC-in-GitHub#

一些常见漏洞

https://github.com/EdgeSecurityTeam/Vulnerability

https://github.com/projectdiscovery/nuclei

https://github.com/woodpecker-framework

代码审计

同上

内网

靶场http://vulnstack.qiyuanxuetang.net/vuln/

根据靶场去学习具体的知识点，社团内部课堂也有课程

安全客 freebuf 先知也有大量文章

大致分为以下几点

工具

• Cobalt Strike
• MSF
• 内网常见的扫描工具与脚本比如 fscan、kcsan等多关注github

钓鱼&免杀

内网信息收集

主机漏洞&服务漏洞利用

MS系列漏洞、redis漏洞以及内网常见存在RCE的服务等

代理转发

隧道隐蔽

权限维持

横向渗透

域漏洞利用

基础知识：https://daiker.gitbook.io/windows-protocol

博客：https://www.cnblogs.com/nice0e3/category/1686860.html

面试

多看看别人的面经，不同岗位的侧重点不太一样

优先推荐 牛客网

一些公开的面经

https://github.com/d1nfinite/sec-interview

https://github.com/tiaotiaolong/sec_interview_know_list

https://github.com/Leezj9671/Pentest_Interview

https://github.com/Leezj9671/offensiveinterview

https://4o4notfound.org/index.php/archives/183/

http://yulige.top/?p=685

https://mp.weixin.qq.com

https://mp.weixin.qq.com

https://www.yuque.com/feei/sig

Web 方向学习路线相关推荐

1. Web方向学习路线（信息安全）

   目录 1.前言 2.Web安全第一阶段 3.Web安全第二阶段 4. Web安全第三阶段 1.前言  信息安全是非常好的专业,就拿2021年来说,信息安全在所有专业中平均工资是最高的,达到了7000多 ...

2. PHP学习课程和培训方向学习路线分享

   PHP学习课程和培训方向学习路线分享 php语言的优越性,集结了很多的开发爱好者,无论行业前景和个人发展来说,php正飞速的发展,php在不断兼容着类似closures和命名空间 等技术,同时兼顾性能 ...

3. 【引用】 web前段学习路线

   [引用] web前段学习路线 引语 自从2008年接触网站开发以来到现在已经有六个年头了,今天偶然整理电脑资料看到当时为参加系里面一个比赛而做 的第一个网站时,勾起了在这网站开发道路上的一串串回忆,成 ...

4. 爱创课堂分享web前端学习路线自学如何找到工作

   爱创课堂分享web前端学习路线自学如何找到工作,自学能不能学会WEB前端并且找到WEB前端开发岗位的工作取决于自身条件,如果基础好,自律性强那么将会容易很多,还有就是自学最难克服的并不是知识点,而是自 ...

5. 零基础web前端学习路线【全新web前端入门视频教程】

   零基础怎么学web前端?下面就一起来看看吧! 想学好web前端,该从哪里入手学习呢?零基础学习web前端学习路线图从哪里可以找到呢?这里为大家整理完整的零基础 前端学习路线分享给大家. 适合零基础学员 ...

6. 史上最全web前端学习路线

   web前端学习路线 一.web前端学习路线 一.web前端学习路线 HTML 基础,建议时常两周,包括面试的热点:margin塌陷.bfc CSS 基础,建议时长两周,包括权重 Js(Ajax) 基础 ...

7. WEB前端学习路线2023完整版（附视频教程+学习资料）

   下面小编为web前端学习爱好者汇总了一条完整的自学线路,适合初学者的WEB前端学习路线汇总! 需要更多教程,文末扫码即可 别忘了扫码领资料哦[高清Java学习路线图] 和[全套学习视频及配套资料] 1 ...

8. Web前端学习路线分享，初学者不要错过！

   在技术岗中,前端开发一直是薪资比较高的岗位. ▲北京前端工程师月均薪20.7K(职友集) 前端技术的更新迭代,导致大部分技术人员跟不上.因此越来越多的人想转型做前端开发了.毕竟想要驰骋职场,想要拿年薪 ...

9. 如何使用jquery_好程序员web前端学习路线分享jQuery学习技巧

   好程序员web前端学习路线分享jQuery学习技巧,jQuery在web前端学习中是一个必不可少的内容,很多小伙伴都在学习这阶段的时候遇到问题,今天我们就来聊一下jQuery,让我们一起来看一看吧! ...

10. js怎么在一个div中嵌入另一网站_好程序员web前端学习路线分享HTML5常见面试题集锦一...

    好程序员web前端学习路线分享HTML5常见面试题集锦,接下来将会持续为大家分享几篇HTML5常见面试题. 1.布局 左边20% 中间自适应 右边200px 不能用定位 答案:圣杯布局/双飞翼布局或者 ...

最新文章

1. Java中List.remove报UnsupportedOperationException异常
2. 在Delphi7中调试COM
3. 【python】入门指南：控制语句
4. markdown java 代码高亮_MarkdownPad2使用代码高亮插件
5. wordpress mysql 密码重置_WordPress忘记密码找回登录密码的四种行之有效的方法
6. 【计算机组成原理】磁盘存储器
7. 深入浅出妙用 Javascript 中 apply、call、bind
8. python入门之正则表达式
9. B - 最短路径问题
10. python ascii转字符串_Python将混合ASCII代码转换为字符串
11. eNSP网络类型实验报告
12. canvas 实现图片添加水印
13. 谷歌内核浏览器无法下载文件的解决方法
14. [2017BUAA软工助教]博客格式的详细说明
15. 1413-数列求和 ZCMU
16. 【训练1】储蓄卡与信用卡
17. excel 分组排名 countif
18. 同源策略、跨域以及跨域的三种解决方案详解
19. 【洛谷P3386】【模板】二分图匹配【网络流】
20. Valgrind使用介绍

热门文章

1. substrate 学习记录（一）：Substrate 安装 + 创建测试链 + 启动私有网络
2. 【AllenNLP入门教程】: 1、基于Allennlp2.4版本的文本分类
3. 【AllenNLP】: 自定义predictor—输入文本输出中文
4. Excel VBA 统分
5. 微电子专业要学c语言吗,微电子不是人能学的！
6. Java编程输出你的年龄和姓名
7. adb 驱动安装说明文档
8. 单片机原理及应用第四版林立课后选择题
9. JavaScript高级程序设计闭包学习理解
10. 建设医疗人工智能的“四步曲”