首先说明，我是一名CTF的web手，这是我自己亲身学习网络安全的路线，希望能够帮到大家，我虽然不是大牛，但我也希望能够帮助一些网安小白找到自己学习的方向，后面有就业的详细安全技术要求，如果真想学习，可以按照他的要求来学

1、必备知识与靶场

可以先在CTFshow里面打一下最简单最入门的关卡，理解一下什么是源码泄露，在这边先了解源码泄露，前台JS绕过，CDN找真实IP等知识，可以边看答案边理解其中的内容，大师傅在b站也有讲解内容，VIP的话可开通可不开通，因为还有其他靶场可以学习，比如NSSCTF，青少年CTF平台，攻防世界，BUUCTF等CTF平台,务必要把这些源码泄露的简单题目全部做会

2、工具的使用

如果上面的学起来比较困难，可以先尝试misc杂项，杂项相对web来说会更简单而且也会更好玩一点，杂项是CTF方向中比较烧脑的，看了答案都会，但是一没看答案就不知道怎么做了，这就得多刷题来看思路了。而且接触杂项会接触到很多的工具，这时候就得自己去找工具了，锻炼自己的自学能力，提升是很快的。比如010editor，Burpsuite，随波逐流解密，tools，PuzzleSolver等杂项工具

3、搜索引擎的更换

搜索引擎的更换是很重要的，如果搜索引擎不正确，找到的文章或者知识很多都是很久之前的，已经失去了时效性的文章，特别是linux换源或者docker换源等，我建议的搜索引擎是谷谷，在我后面学习了很久过后，在实习的时候，我的一个大一超强实习生同事告诉我的，而且我发现很多东西百度是没有收录的，所以那些很好的文章或者写的很好的个人博客都没有展现出来，

这个是谷谷和百度搜到内容的对比，百度的大部分都是国内的文章，但是其实国内的有些可能比较落伍了，而谷谷搜到的有些是最近特别新的内容，而且有些博主真的写的很好，所以更改自己的搜索引擎也是很重要的（没有吹谷谷有多好，只不过是为了让大家能更好的找到自己所需要的资料）

4、看课的话我建议是哔哩哔哩的橙子科技或小迪安全（小迪我没看过，但好像不错）

橙子科技讲了SQL注入，PHP命令执行，反序列化，ssrf等基础漏洞原理，可以边打CTF边看他的课，先学命令执行，在学SQL，在学反序列化，如果有条件的话，可以学一下PHP语言，java语言，但现在主流的网站一般都是java语言写的，php有点过时了

5、漏洞学习

刚开始我建议先学习php的命令执行，这个命令执行其实就是Linux的命令，所以如果把这个命令执行学会了你的Linux操作系统也不会差，第二个就是学习比较重要也比较基础的SQL注入漏洞，其中又包括（延时注入，布尔注入、GET注入、POST注入、COOKIE注入、HTTP注入），可以去网上打sql-libs靶场，也可以自己本地用docker或者phpstudy来搭建靶场来打。sql学完可以学习反序列化~可以按着ctfshow的那个会员的路线来学习，由入门-简单-一般-困难

6、搭建靶场

一、phpstudy搭建靶场

自己windows搭建靶场可以下载一个phpstudy

然后把相对应的文件什么的放在根目录那边就可以直接打开了，下一节我就和你们说怎么搭建这个phpstudy

我这边演示的是文件上传的靶场，这样我们的靶场就搭建好了，就可以在我们自己电脑上试着学习了，但是我们自己搭建的靶场一般都会有一些问题，所以最好是打平台上的~

二、docker搭建

docker安装的过程会很难很难，会遇到很多问题，但是搭建靶场的过程会简单很多，现在docker镜像貌似国内已经坏掉了，估计得再过段时间才会恢复

但是这个docker搭建的还是要学习的，这篇我就暂时不展示如何搭建了，过段时间我再发，分成两个会易懂一点，下面举个例子，只需要两行代码就可以搭建成功一个网站，而且如果放在服务器上面的话可以想打的时候就打

例：sql-liab靶场搭建

docker pull acgpiano/sqli-labs//拖取sql镜像

docker run -dt --name sqli -p 8082:80 --rm acgpiano/sqli-labs //启动靶场

6、招聘要求（实习要求）

大概就是你得学会CTF后去学习渗透，要学会能够自己独立挖洞，知道挖洞的思路，学会CTF后转渗透是非常容易的，建议在校的先学CTF打打比赛，获得一些奖状，后面再转渗透

这些差不多就是网安学习的路线了，如果你还有什么想了解的可以私信我

路线如果有不清晰或不明白的地方，欢迎大家评论区留言讨论。

如果有什么不对或者需要改正的地方，请多多指教！欢迎讨论交流！