前段時(shí)間看到有人私信：網(wǎng)絡(luò)安全行業(yè)現(xiàn)在好混嗎，工資水平怎么樣？今天在這里做個(gè)回答，不知你所說(shuō)的“好混嗎”指的是什么？

• 薪資高，待遇好？
• 不加班，活兒少？
• 不受氣，很穩(wěn)定？
• 有前景，有發(fā)展？
• 能學(xué)到東西，充實(shí)自我？
• 還是方便養(yǎng)老？

不管你是指的哪一點(diǎn)，我相信你肯定是想要一個(gè)薪資待遇好、發(fā)展前景好、又不加班又不熬夜、還能學(xué)到東西、有發(fā)展空間的工作，對(duì)吧？

畢竟這就是大家的理想型。

如果你非得找這樣的工作，那么說(shuō)實(shí)話(huà)，所有IT行業(yè)技術(shù)崗可能都不太適合你。

但是如果你稍微“降低”一點(diǎn)要求，那么可以考慮一下。

下面給你簡(jiǎn)單說(shuō)一下目前網(wǎng)絡(luò)安全行業(yè)的現(xiàn)狀。

一、網(wǎng)絡(luò)安全薪資高嗎？

高。一般都在萬(wàn)元以上，更高的一月幾萬(wàn)也很常見(jiàn)，但同樣的要求也高。

不過(guò)基礎(chǔ)一般都能拿到14K的薪資，高的也不是沒(méi)有。

這是我身邊的一個(gè)朋友剛拿的offer

二、網(wǎng)絡(luò)安全有前景嗎？

這個(gè)就不用多說(shuō)了吧，網(wǎng)絡(luò)安全前景必須有啊！

三、網(wǎng)絡(luò)安全活兒多嗎？

看你是干什么的了，我有個(gè)朋友是做安服的，在一個(gè)很知名的安全公司（這里就不透露名字了），有時(shí)候周末還去開(kāi)會(huì)（管飯），下班還要工作（偶爾，工作也就幾分鐘），但又感覺(jué)他挺閑（項(xiàng)目制）。

所以安全活兒多嗎我不能保證多也不能保證少，還是看公司，看崗位，如果你想進(jìn)入安全行業(yè)，可千萬(wàn)別因?yàn)檫@而打退堂鼓啊，因?yàn)閾?jù)我所知，他閑的時(shí)候遠(yuǎn)遠(yuǎn)＞忙的時(shí)候。

四、網(wǎng)絡(luò)安全能學(xué)到東西嗎？

這個(gè)當(dāng)然也能，因?yàn)榧夹g(shù)這么多，學(xué)無(wú)止境，你不可能說(shuō)一點(diǎn)也學(xué)不到吧。

五、網(wǎng)絡(luò)安全能養(yǎng)老嗎？

程序員之間流行一個(gè)詞，叫35歲危機(jī)，，意思就是說(shuō)35歲是個(gè)坎，容易被淘汰。

那么安全行業(yè)有這個(gè)坎嗎？我覺(jué)得沒(méi)有，因?yàn)榘踩椭皪徫徊灰粯?#xff0c;年齡大的他經(jīng)驗(yàn)更豐富，反而比較吃香，尤其很多大廠(chǎng)招聘要求都是5-10年，這沒(méi)有30、40歲能有10年經(jīng)驗(yàn)？

大概就說(shuō)這些，題主可自行判斷。總體來(lái)說(shuō)，網(wǎng)絡(luò)安全好混，但不容易混得好。其實(shí)任何行業(yè)都是這樣，想混得好，必須不斷學(xué)習(xí)提升。那么網(wǎng)安應(yīng)該如何學(xué)呢？

網(wǎng)絡(luò)安全入門(mén)學(xué)習(xí)路線(xiàn)

其實(shí)入門(mén)網(wǎng)絡(luò)安全要學(xué)的東西不算多，也就是網(wǎng)絡(luò)基礎(chǔ)+操作系統(tǒng)+中間件+數(shù)據(jù)庫(kù)，四個(gè)流程下來(lái)就差不多了，可以參考一下這個(gè)學(xué)習(xí)路線(xiàn)，先打好基礎(chǔ)。

第一步：計(jì)算機(jī)基礎(chǔ)

這第一步，其實(shí)跟網(wǎng)絡(luò)安全關(guān)系都不太大，而是進(jìn)入 IT 領(lǐng)域的任何一個(gè)人都要掌握的基礎(chǔ)能力。下面五大課程，是大學(xué)老師當(dāng)年教給我們的，不管你是什么技術(shù)方向最好都好好學(xué)的技術(shù)，如今看來(lái)，仍然不過(guò)時(shí)：

• 計(jì)算機(jī)網(wǎng)絡(luò)
• 計(jì)算機(jī)組成原理
• 操作系統(tǒng)
• 算法與數(shù)據(jù)結(jié)構(gòu)
• 數(shù)據(jù)

這每一門(mén)課程其實(shí)都內(nèi)有乾坤，基本都不能做到一次學(xué)習(xí)就能掌握，而是伴隨每個(gè)人的職業(yè)生涯，不同的技術(shù)階段都會(huì)有不一樣的認(rèn)識(shí)和感受。具體學(xué)起來(lái)建議參考敏捷開(kāi)發(fā)，不斷迭代：有一個(gè)粗略的認(rèn)識(shí)**->有了進(jìn)一步的認(rèn)識(shí)->徹底掌握->溫故而知新。**不用糾纏于把一門(mén)課程全部學(xué)完學(xué)懂才進(jìn)入下一門(mén)課程。

第二步：編程能力

有了上面的一些基本功后，這個(gè)時(shí)候就需要?jiǎng)邮?#xff0c;來(lái)寫(xiě)點(diǎn)代碼，錘煉一下編程的功底。下面三項(xiàng)，是安全行業(yè)的從業(yè)者都最好能掌握的語(yǔ)言：

• Shell 腳本：掌握常用的 Linux 命令，能編寫(xiě)簡(jiǎn)單的 Shell 腳本，處理一些簡(jiǎn)單的事務(wù)。
• C 語(yǔ)言（C++可選）：C 語(yǔ)言沒(méi)有復(fù)雜的特性，是現(xiàn)代編程語(yǔ)言的祖師爺，適合編寫(xiě)底層軟件，還能幫助你理解內(nèi)存、算法、操作系統(tǒng)等計(jì)算機(jī)知識(shí)，建議學(xué)一下。
• Python：C 語(yǔ)言幫助你理解底層，Python 則助你編寫(xiě)網(wǎng)絡(luò)、爬蟲(chóng)、數(shù)據(jù)處理、圖像處理等功能性的軟件。是程序員，尤其是黑客們非常鐘愛(ài)的編程語(yǔ)言，不得不學(xué)。

第三步：安全初體驗(yàn)

有了前面兩步的打底，是時(shí)候接觸一些網(wǎng)絡(luò)安全的技術(shù)了，剛剛開(kāi)始這個(gè)階段，仍然不要把自己圈起來(lái)只學(xué)某一個(gè)方向的技術(shù)。這個(gè)階段，我的建議是：但當(dāng)涉獵，見(jiàn)往事耳。網(wǎng)絡(luò)協(xié)議攻擊、Web 服務(wù)攻擊、瀏覽器安全、漏洞攻擊、逆向破解、工具開(kāi)發(fā)都去接觸一下，知道這是做什么的，在這個(gè)過(guò)程中去發(fā)現(xiàn)自己的興趣，讓自己對(duì)網(wǎng)絡(luò)安全各種領(lǐng)域的技術(shù)都有一個(gè)初步的認(rèn)識(shí)。

第四步：分方向

在第三步中，慢慢發(fā)現(xiàn)自己的興趣點(diǎn)，是喜歡做各種工具的開(kāi)發(fā)，還是喜歡攻破網(wǎng)站，還是癡迷于主機(jī)電腦的攻擊···這個(gè)時(shí)候就可以思考自己后面的方向，然后精力開(kāi)始聚焦在這個(gè)方向上，通過(guò)上面思維導(dǎo)圖中各自方向的技術(shù)去持續(xù)深耕，成為某一個(gè)領(lǐng)域的大拿。

怎么入門(mén)？

我們落到具體的技術(shù)點(diǎn)上來(lái)，網(wǎng)絡(luò)安全學(xué)習(xí)路線(xiàn)，整體學(xué)習(xí)時(shí)間大概半年左右，具體視每個(gè)人的情況而定。

如果你把每周要學(xué)的內(nèi)容精細(xì)化到這種程度，你還會(huì)擔(dān)心學(xué)不會(huì)，入不了門(mén)嗎，其實(shí)說(shuō)到底就是學(xué)了兩個(gè)月，但都是東學(xué)一下，西學(xué)一下，什么內(nèi)容都是淺嘗輒止，沒(méi)有深入進(jìn)去，所以才會(huì)有學(xué)了2個(gè)月，入不了門(mén)這種感受。

1、Web安全相關(guān)概念（2周）

• 熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話(huà)木馬等）；
• 通過(guò)關(guān)鍵字（SQL注入、上傳、XSS、CSRF、一句話(huà)木馬等）進(jìn)行Google/SecWiki；
• 閱讀《精通腳本黑客》，雖然很舊也有錯(cuò)誤，但是入門(mén)還是可以的；
• 看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過(guò)程，可以Google（滲透筆記、滲透過(guò)程、入侵過(guò)程等）；

2、熟悉滲透相關(guān)工具（3周）

• 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關(guān)工具的使用；
• 了解該類(lèi)工具的用途和使用場(chǎng)景，先用軟件名字Google/SecWiki；
• 下載無(wú)后門(mén)版的這些軟件進(jìn)行安裝；
• 學(xué)習(xí)并進(jìn)行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；
• 待常用的這幾個(gè)軟件都學(xué)會(huì)了可以安裝音速啟動(dòng)做一個(gè)滲透工具箱；

3、滲透實(shí)戰(zhàn)操作（5周）

掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。 網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫(kù)備份、dedecms漏洞利用等等）；

• 自己找站點(diǎn)/搭建測(cè)試環(huán)境進(jìn)行測(cè)試，記住請(qǐng)隱藏好你自己；
• 思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做那些工作；
• 研究SQL注入的種類(lèi)、注入原理、手動(dòng)注入技巧；
• 研究文件上傳的原理，如何進(jìn)行截?cái)?、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等；
• 研究XSS形成的原理和種類(lèi)，具體學(xué)習(xí)方法可以Google/SecWiki；
• 研究Windows/Linux提權(quán)的方法和具體使用；

4、關(guān)注安全圈動(dòng)態(tài)（1周）

• 關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章；
• 通過(guò)SecWiki瀏覽每日的安全技術(shù)文章/事件；
• 通過(guò)Weibo/twitter關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時(shí)間刷一下；
• 通過(guò)feedly/鮮果訂閱國(guó)內(nèi)外安全技術(shù)博客（不要僅限于國(guó)內(nèi)，平時(shí)多注意積累），沒(méi)有訂閱源的可以看一下SecWiki的聚合欄目；
• 養(yǎng)成習(xí)慣，每天主動(dòng)提交安全技術(shù)文章鏈接到SecWiki進(jìn)行積淀；
• 多關(guān)注下最新漏洞列表，推薦幾個(gè)：exploit-db、CVE中文庫(kù)、Wooyun等，遇到公開(kāi)的漏洞都去實(shí)踐下。
• 關(guān)注國(guó)內(nèi)國(guó)際上的安全會(huì)議的議題或者錄像，推薦SecWiki-Conference；

5、熟悉Windows/Kali Linux（3周）

• 學(xué)習(xí)Windows/Kali Linux基本命令、常用工具；
• 熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill
• 等；
• 熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；
• 熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；
• 熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測(cè)試指南》；

6、服務(wù)器安全配置（3周）

• 學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過(guò)思考發(fā)現(xiàn)配置存在的安全問(wèn)題；
• Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運(yùn)行權(quán)限，；
• Linux環(huán)境下的LAMP的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等；
• 遠(yuǎn)程系統(tǒng)加固，限制用戶(hù)名和口令登陸，通過(guò)iptables限制端口；
• 配置軟件Waf加強(qiáng)系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)；
• 通過(guò)Nessus軟件對(duì)配置環(huán)境進(jìn)行安全檢測(cè)，發(fā)現(xiàn)未知安全威脅；

7、腳本編程學(xué)習(xí)（4周）

• 選擇腳本語(yǔ)言Perl/Python/PHP/Go/Java中的一種，對(duì)常用庫(kù)進(jìn)行編程學(xué)習(xí)；
• 搭建開(kāi)發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime；
• Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語(yǔ)法、正則、文件、網(wǎng)絡(luò)、多線(xiàn)程等常用庫(kù)，推薦《Python核心編程》，不要看完；
• 用Python編寫(xiě)漏洞的exp，然后寫(xiě)一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)爬蟲(chóng)；
• PHP基本語(yǔ)法學(xué)習(xí)并書(shū)寫(xiě)一個(gè)簡(jiǎn)單的博客系統(tǒng)，參見(jiàn)《PHP與MySQL程序設(shè)計(jì)（第4版）》、視頻；
• 熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架（可選）；
• 了解Bootstrap的布局或者CSS;

8、源碼審計(jì)與漏洞分析（3周）

• 能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問(wèn)題。
• 熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序；
• 從Wooyun上尋找開(kāi)源程序的漏洞進(jìn)行分析并試著自己分析；
• 了解Web漏洞的形成原因，然后通過(guò)關(guān)鍵字進(jìn)行查找分析；
• 研究Web漏洞形成原理和如何從源碼層面避免該類(lèi)漏洞，并整理成checklist。

9、安全體系設(shè)計(jì)與開(kāi)發(fā)（5周）

• 能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。
• 開(kāi)發(fā)一些實(shí)用的安全小工具并開(kāi)源，體現(xiàn)個(gè)人實(shí)力；
• 建立自己的安全體系，對(duì)公司安全有自己的一些認(rèn)識(shí)和見(jiàn)解；
• 提出或者加入大型安全系統(tǒng)的架構(gòu)或者開(kāi)發(fā)；

我也給大家整理了一些學(xué)習(xí)資料筆記等，大部分都是比較不錯(cuò)的，希望對(duì)大家有幫助！

CSDN大禮包：《黑客&網(wǎng)絡(luò)安全入門(mén)&進(jìn)階學(xué)習(xí)資源包》免費(fèi)領(lǐng)取

最后，給大家整理了一個(gè)簡(jiǎn)單的學(xué)習(xí)方法，可以借鑒：

1. 多看書(shū)

閱讀永遠(yuǎn)是最有效的方法，盡管書(shū)籍并不一定是最好的入門(mén)方式，但書(shū)籍的理解需要一定的基礎(chǔ)；但是就目前來(lái)看，書(shū)籍是比較靠譜的入門(mén)資料。

例如：《黑客攻防---web安全實(shí)戰(zhàn)詳解》《Web前端黑客技術(shù)揭秘》《安全之路：Web滲透技術(shù)及實(shí)戰(zhàn)案例解析（第2版）》

現(xiàn)在Web安全書(shū)籍比較多，因此大家在學(xué)習(xí)的過(guò)程中可以少走了不少的彎路。如果以上推薦書(shū)籍閱讀有困難，那就找自己能看得進(jìn)的 Web 安全的書(shū)。

當(dāng)然紙上談兵終覺(jué)淺，不實(shí)踐一下怎么好呢。

2.常用工具的學(xué)習(xí)

1.Burpsuite學(xué)習(xí) Proxy 抓包改包學(xué)習(xí) Intruder 爆破模塊學(xué)習(xí)實(shí)用 Bapp 應(yīng)用商店中的插件2.Nmap使用 Nmap 探測(cè)目標(biāo)主機(jī)所開(kāi)放的端口使用 Nmap 探測(cè)目標(biāo)主機(jī)的網(wǎng)絡(luò)服務(wù)，判斷其服務(wù)名稱(chēng)及版本號(hào)3.SQLMap對(duì) AWVS 中掃描出的 SQL 注入漏洞使用 SQLMap 進(jìn)行數(shù)據(jù)獲取實(shí)踐常見(jiàn)漏洞類(lèi)型的挖掘與利用方

3.學(xué)習(xí)開(kāi)發(fā)

1.書(shū)籍《細(xì)說(shuō) PHP》

2.實(shí)踐使用 PHP 寫(xiě)一個(gè)列目錄的腳本，可以通過(guò)參數(shù)列出任意目錄的列表使用 PHP 抓取一個(gè)網(wǎng)頁(yè)的內(nèi)容并輸出使用 PHP 抓取一個(gè)網(wǎng)頁(yè)的內(nèi)容并寫(xiě)入到Mysql數(shù)據(jù)庫(kù)再輸出。

也可以找一培訓(xùn)班，系統(tǒng)的學(xué)習(xí)一下，都是可以的。

尾言

說(shuō)實(shí)話(huà)，上面講到的資料包獲取沒(méi)有任何門(mén)檻。
但是，我覺(jué)得很多人拿到了卻并不會(huì)去學(xué)習(xí)。
大部分人的問(wèn)題看似是 “如何行動(dòng)”，其實(shí)是 “無(wú)法開(kāi)始”。
幾乎任何一個(gè)領(lǐng)域都是這樣，所謂 “萬(wàn)事開(kāi)頭難”，絕大多數(shù)人都卡在第一步，還沒(méi)開(kāi)始就自己把自己淘汰出局了。
如果你真的確信自己喜歡網(wǎng)絡(luò)安全/黑客技術(shù)，馬上行動(dòng)起來(lái)，比什么都重要。

網(wǎng)絡(luò)安全領(lǐng)域就像是一棵碩果累累的參天大樹(shù)，底下站著無(wú)數(shù)觀(guān)望者，他們都聲稱(chēng)自己喜歡網(wǎng)絡(luò)安全，想上樹(shù)摘果，但面對(duì)時(shí)不時(shí)垂下來(lái)的藤枝，他們卻躊躇不前，猶豫不決。

實(shí)際上，只要任意抓住一根藤枝，都能爬上這棵樹(shù)。
大部分人缺的，就是這么一個(gè)開(kāi)端。