🔑 学习路径(循序渐进)
第一阶段:网络与操作系统基础
目标:打好底层功底,理解 TCP/IP、Linux、Windows 安全机制。
学习重点:
TCP/IP 协议、HTTP/HTTPS、DNS、SMTP 等常见协议
Linux 权限、进程管理、日志、常用安全命令
Windows 用户权限、注册表、安全机制
推荐书籍:
《TCP/IP 详解》—— W. Richard Stevens(网络安全必读经典)
《计算机网络:自顶向下方法》—— Kurose & Ross(协议学习清晰易懂)
《Linux安全攻防实战》 或 《Linux基础及安全运维》
《Windows内核原理与实现》入门版即可
第二阶段:网络安全基础
目标:掌握安全攻防的基础知识,了解常见攻击方式。
学习重点:
常见攻击手法:SQL 注入、XSS、CSRF、RCE、权限提升
漏洞分类 & 原理
安全工具使用(Nmap、Wireshark、Metasploit、Burp Suite)
推荐书籍:
《黑客攻防技术宝典:Web 实战篇》—— Dafydd Stuttard(俗称“Web Hacking Bible”)
《Metasploit 渗透测试指南》
《Web安全深度剖析》—— 张帆
OWASP 官方文档(Web 安全 10 大风险)
第三阶段:系统安全与漏洞原理
目标:理解漏洞形成机制,能够读懂并利用 PoC。
学习重点:
缓冲区溢出、栈溢出、格式化字符串漏洞
Shellcode、ROP 攻击
漏洞调试工具(gdb、WinDbg、IDA、Ghidra)
推荐书籍:
《漏洞战争:软件漏洞分析精要》
《灰帽黑客》—— Hackers Handbook(漏洞利用经典)
《加密与解密(第四版)》—— 段钢(逆向必看)
《实用逆向工程》
第四阶段:密码学与安全工程
目标:理解加密原理、密钥管理和实际应用。
学习重点:
对称加密 / 非对称加密 / 哈希 / 数字签名
TLS、HTTPS、JWT、OAuth2
密码学在安全通信中的应用
推荐书籍:
《应用密码学》—— Bruce Schneier
《图解密码技术》—— 佐藤雅彦(非常适合入门)
《密码编码学与网络安全》—— William Stallings
第五阶段:进阶与方向选择
根据兴趣和职业路径选择方向:
渗透测试方向 → 红队对抗、APT、实战演练
《高级渗透测试——构建可利用的漏洞》
蓝队防御方向 → SOC、SIEM、入侵检测、防火墙
《企业安全建设入门:零信任、SOC、应急响应》
安全开发方向 → 安全编码、代码审计
《白帽子讲Web安全》—— 吴翰清
安全管理方向 → 风险管理、合规、标准
《信息安全风险评估与管理》
🔧 实战练习(边学边练)
靶场推荐:
VulnHub(渗透练习)
HackTheBox(国际知名靶场)
WebGoat(OWASP 教学靶场)
CTF 平台:
CTFHub、BUUCTF(国内练习平台)
PicoCTF(适合新手)
🚀 学习建议
以 “网络 + 系统 + Web 安全” 为核心,逐步深入。
刚开始不用急着啃特别难的漏洞分析书,可以先用靶场练习 Web 安全。
多动手,光看书没用,建议 读一章 → 找靶场练习对应攻击 → 写笔记总结。
暂无评论内容