2026-01-17 01:48:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文为网安新手提供从基础到进阶的成长路线图。建议新手在掌握网络编程基础后，通过Web漏洞实战与源码审计提升能力，强调实战重于CTF刷题。文章详细梳理了红队、蓝队及应用安全等职业分流方向，并提倡掌握自动化工程化技能，以实现从脚本小子到专业安全工程师的转变。 综合评分： 88 文章分类： 安全培训,WEB安全,红队,代码审计

cover_image

写给网安新手小白的一些话

原创

Hyyrent Hyyrent

0xSecurity

2026年1月16日 06:33 广东

如果你觉得安全是一件很酷的事情，就继续坚持下去吧！

1.初级阶段：学习阶段

这个阶段适合自学+看视频学习
多阅读社区文章，学习别人挖洞的思路
找个学长或者大佬带，不建议培训班

2.中级阶段：实战阶段

学校有机会可以参加实验室和CTF比赛
去尝试挖掘漏洞src、edusrc、cnvd等
找个乙方企业实习，绿盟、长亭这些都是很不错的

3.中级进阶阶段：学会各种技能

安全领域很广，但是作为一个安全工程师需要每样都涉猎一些，比如风控、攻防、代码审计、开发、应急等等
这时候基本上就可以独立去完成一些项目，学会在项目中总结经验

4.高级阶段：找到适合自己的领域独当一面

完成别人完成不了的东西，具有不可替代性，比如快速挖掘漏洞打点，代码审计出0day的能力
把人工任务逐渐转变为自动化的工作，逐渐转变为架构师

一、基础期（0 → 能看懂安全在干嘛）

目标：不迷茫，能听懂安全术语，知道漏洞是怎么产生的

1️⃣ 计算机与网络基础（必修）

网络
TCP / UDP / HTTP / HTTPS
DNS / CDN / 反向代理
Cookie / Session / JWT
系统
Linux 基础命令
进程 / 权限 / 文件系统
Web 基础
前后端交互
REST API
常见中间件（Nginx / Tomcat）

📌 判断是否达标：

你能解释「一次 HTTP 请求从浏览器到服务器发生了什么」

2️⃣ 编程基础（安全不是只会工具）

必选
Python（自动化、PoC、脚本）
强烈建议
Java / Go / PHP（至少会看）
Web 代码理解
路由
参数解析
ORM / SQL 拼接

📌 达标标准：

看到一段后端代码，你能猜哪里可能出漏洞

二、入门实战期（能“打”出漏洞）

目标：能自己复现漏洞，而不是只看文章

3️⃣ Web 常见漏洞（核心）

重点掌握 为什么能被打

SQL 注入
XSS（反射 / 存储 / DOM）
CSRF
文件上传
逻辑漏洞（越权 / 重放 / 业务绕过）
SSRF
命令执行

📌 推荐练习方式：

DVWA / Pikachu
自建漏洞靶场（Gin / SpringBoot）
不要只刷 CTF

4️⃣ 抓包 & 调试能力

Burp Suite（重中之重）
Repeater
Intruder
Proxy
Postman / curl
浏览器 DevTools

📌 达标标准：

不依赖前端，也能直接构造接口请求

三、进阶期（安全工程师分水岭）

目标：不只是“会打”，而是“会分析”

5️⃣ 源码级安全（白盒）

这是安全真正拉开差距的地方

代码审计思路
参数 → 处理 → Sink
常见危险函数
框架漏洞成因
权限校验逻辑

📌 建议：

审计一个真实开源项目
自己写漏洞再修复

6️⃣ 自动化 & 工程化

PoC 脚本化
漏洞扫描原理
误报 / 漏报分析
CI/CD 安全接入（SAST / DAST）

📌 这个阶段你已经不是“脚本小子”了

四、方向选择期（决定你未来3年）

这里开始分流

🔴 攻防 / 红队

内网渗透
权限提升
横向移动
C2 原理

🔵 蓝队 / 防守

日志分析
WAF / 风控
攻击检测
应急响应

🟢 应用安全（强烈推荐）

SDLC 安全
威胁建模
AI + 安全
误报治理（你最近聊的很多）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecurity Hyyrent Hyyrent《写给网安新手小白的一些话》