网络安全入门建议

前言

最近有很多人问我，我想自学一些安全相关的技术，有没有适合入门阶段学习的web安全书籍。说到Web安全书籍，这几年其实是一种百家齐放的状态，不断有优秀的书籍出版，那这里就尽可能少地整理几本我阅读过的Web安全入门书籍作为推荐。

如果没学过相关课程的小伙伴，真的从零基础开始的话，还是需要先掌握一些基本的技能：

\1. 学习网站构建初级教程_W3C 以及 HTTP协议基础-runoob 上了解Web前后端以及HTTP协议的一些基础介绍，花半天时间对相关技术有个概念性的了解就够了。

\2. Windows下下载 phpStudy 或者 WAMP ，在本地搭建Web服务器环境，然后自己搜索两篇文章学习下基本的操作方法。这个本地Web服务器也就相当于学习过程中的一个实验环境了。

\3. 学习浏览器的开发者工具（通常快捷键F12调出），搜索一些教学文章，掌握Chrome或者Firefox浏览器开发者工具中的Network、Elements功能的常见用法，可以查看HTTP数据包以及定位页面元素。

适合初学者的Web安全书籍

Answer

\1. 《白帽子讲Web安全》很多人的Web安全启蒙书。

2.《Web前端黑客技术揭秘》前端黑客技术。

对于读书，我觉得读书的目的是：学以致用。应该把注意力放在如何应用读到的知识，提高自己的技术，而不是学了多少内容。一年哪怕只学习了一本书，也要让这本书的内容结实地提升自己的技能，而不是只为了多一点谈资或者阅读清单上多一个数目。这也是我这里只推荐了两本书的原因，因为我觉得这两本书，能够认真学习完，并且实践书中的案例和技能，已经很难得了，同时相比于简单翻一遍，要多花费很多的时间和精力。

工具与实战

那学习Web安全呢，同时还要掌握一些工具：浏览器开发者工具与浏览器插件（如HackBar、ProxySwitcher）、抓包工具如Burpsuite、漏洞扫描和验证工具如御剑、sqlmap、AWVS，工具可以在 Freebuf上自行搜索下载，教程可以参考Web安全-i春秋系列教程中对应这几款工具的章节学习。

好的工具可以帮助我们提高测试效率，扩展测试思路。除了工具的使用，通过搭建本地实战环境练习手工技巧，也是很好的进阶之路，这里建议可以搭建 DVWA漏洞测试环境，然后参考 DVWA系列教程_Freebuf进行学习。

学习的同时也可以在教育行业SRC等漏洞平台上挖掘漏洞，赢得认可，也是一种动力，但挖掘漏洞的时候一定要注意规范和界限，可以参考自律方能自由，《网络安全法》实施后的白帽子行为参考，挖掘漏洞的同时也要注意保护自己。

适合初学者的社区和资讯站点

Answer

\1. 网站安全_i春秋社区

i春秋社区聚集了很多的人气，有好多学生，也很活跃，入门和进阶的文章都有，可以多多交流。

\2. Freebuf

很多科普和梳理性的文章，也经常会有时下的热点讨论。

\3. 全国大学生信息安全竞赛

这个和全国大学生电子设计竞赛信息安全技术专题邀请赛一样，都是做一个安全软硬件系统来解决一些安全问题，通常有项目文档提交、源代码提交、现场演示答辩等几个步骤，分为初赛复赛，全国大学生信息安全竞赛为每年一次，全国大学生电子设计竞赛信息安全技术专题邀请赛通常两年一次，这两个比赛获奖对于大学生都有竞赛加分，在锻炼自己的同时，对评奖学金和保研也有帮助。

\4. 全国大学生信息安全竞赛创新实践能力线上赛（CTF形式）

这个是和i春秋合作的线上赛，和线下赛目前看来还没什么关联，CTF性质的。每年的CTF比赛很多，大家可以关注i春秋等一些站点的资讯就行了，大学生组队参加CTF比赛的挺多，也是很好的锻炼方式。

挖洞、博客与团队

既然是入门了，建议就可以随着学习的深入，在一些SRC平台上挖掘漏洞，如果你不太喜欢走这个路线，也可以整理自己的学习过程，写一些技术博客进行分享，俗话说来“你挖洞来我拍砖”，都可以，而且一些平台如Freebuf、先知社区都有付费文章奖励计划，这两种都可以在学习技术的同时获取到一些物质上的奖励，如果你慢慢有了一些编程能力（Python、Web前后端等），除了让自己的安全技术自动化之外，还可以再Github等平台分享一些开源项目。

关于写博客，如果自己搭建站点的话，可以考虑使用hexo+github搭建免费个人博客，或者租用一台VPS部署Wordpress博客程序。其实我觉得，初学的话，可以不在站点搭建上浪费时间，在一些比较优质的博客平台上注册一个帐号即可，也可以有自己的个性域名。如oschina、博客园、简书。写博客本身就是对自己知识技能的巩固和梳理，不要怕写不好，博客就当是给自己看的。

有一个点要提示一下，既然想走安全这条路，那么给自己想一个个性的ID（昵称），提交漏洞或者注册博客时都用这个，好好维护，当做自己的个人品牌认真经营，随着你的贡献和分享越来越多，你的ID会被越来越多的人了解和认可。积累的过程中，如果恰好遇到几个志同道合的小伙伴，那就组个小团队吧，平时技术切磋交流，或者组团挖洞，打CTF等都是极好的。也可以主动去搜寻，或者申请加入一些公开招新的安全团队。一个人有时候可以走的更快，但一个团队往往可以走的更远。

一些进阶的书籍和资源推荐

Answer

这部分内容按需选择即可，等你入门了之后，有了一定的技术和经验，你已经足够去规划自己的发展了。

\1. 《HTTP权威指南》

平时可以当做词典来翻阅。

2.《黑客攻防技术宝典 Web实战篇》

深入剖析Web安全技术。

3.《黑客秘笈渗透测试实用指南》

可以在虚拟机VMware中，下载运行kali Linux的VM版本进行学习和实践。

编程技术相关的书籍和教程，W3C、菜鸟教程runoob 和现代魔法学院已经能解决很多问题了，然后语言相关的官方文档都可以当做词典来查。

站点可以浏览下安全圈info 与 SecWiki ，前者是一个持续更新的安全圈站点导航，总能找到你想要的网站，之前说的SRC站点这里都有，后者是一个安全资讯的收录分享平台，有什么安全问题可以搜索一些历史文章看看。

聊聊“学习”与“实践”

对于初学者来说，找一个靠谱的教程或者老师，帮助自己快速入门是非常有必要的。入门之后，虽然高手的点拨也很重要，但更多的功课其实是需要你自己来做的。这也是为什么优秀的入门教程很多，但是优质的进阶版本教程却不多。

有一句话叫“付费就是占便宜”，对于新手来说，入门阶段花一点钱买一套优质的课程，让有经验的内行带着自己学习，往往是最优的选择。还有一句话叫“免费的就是最贵的”，免费的教学资源，质量参差不齐难以保证，不用花钱，但耗费的是你筛选的精力和时间。自己根据条件取舍即可。开哥顺便打个小广告，开哥的基础课程可进阶课程也都有，大家有需要可以私信留言联系开哥。当然也要帮大家推荐一些基础课程，像是b站上的小迪讲的就可以，当然盗版视频也不少，望大家认清楚！

很多人梦想找到一个牛逼的师父，几天速成然后笑傲江湖。可是每一个真正练就一身武艺的人都是靠冬练三九夏练三伏这么过来的，他们靠着一种忘我的热情持续投入进去磨练，数年如一日，最终自己也不知道怎么就发现具备了无坚不摧的实力。

我们从小到大往往会听到长辈们的建议：“戒骄戒躁”。虽然“戒骄”放在前面，但“戒骄”其实是有了一定成绩之后的事情。对大多数人来说，首先要“戒躁”，才有机会“戒骄”。