本文作者：i春秋作家 大哥哥團長

       說到Web安全必須要了解Web方面的一些基礎知識做為鋪墊的去的去學習這門技術，因為不是人人都可以直接先滲透在進行程式設計等方面學習的、所以為了更好的入門的Web安全必須要先掌握一些基礎知識，相比對逆向方面的入門Web安全真的不難，逆向要是想了解一個簡單的什麼叫jmp esp溢位需要的基礎知識不是一點點，如果是計算機專業的還好，不然通過自己去學習真的不是那麼簡單，不說太多，下面我就給大家推薦一個前期學習知識的路徑和資源連結。

       首先是我給大家推薦的是前端的html/css/js + php進行學習，前端的這些都是肯定需要學習的知識，至於後端的程式語言我建議還是php，主要是因為入門學習快、目的呢就是更快的接觸到php+mysql開發，這樣前前後後的知識加起來才能在知識鏈上完整構成一個網站，這樣做的好處的就是快速瞭解一個網站如何開發，什麼是前端和後端？什麼是http？什麼是資料庫，網站的資料都儲存在哪？

首先推薦一批課程>>>>>.

通過本課程的學習，學者能夠較為熟練的使用DVWA和Metasploit這兩大滲透測試工具，在程式碼分析和滲透實戰的過程中，深入理解漏洞產生的原理，整體把握漏洞利用的方法。

他將會圍繞web安全方向講解常見的漏洞型別以及需要學習的基礎知識，並簡單介紹如何組合利用各種低危型別漏洞達到高危漏洞的效果，帶你探索跟電影中不一樣的白帽黑客進攻祕密。

本門課程面向所有Web安全愛好者，講師王鬆_Striker將從XSS基礎講起，第一章主要科普基礎知識，包括XSS的原理及儲存型XSS、反射型XSS、DOM型XSS的實戰詳解以及XSS輔助工具的學習；第二章主要學習多種XSS不同場景下不同的方法及Bypass技巧詳解；第三章屬於補充章節，主要講一些XSS相關有趣的技術，如：Electron跨平臺XSS執行系統命令、變種XSS：持久控制、以及MVVM模式下的XSS場景等，該章節不

通過對本課程的學習，學者能夠熟悉敏感資訊洩露的原因；掌握如何防止資訊洩露； 熟悉暴力破解的原理；掌握高效率破解的手段和一些主流破解工具的使用和防禦方法；瞭解拒絕服務的原理；掌握相關手段的防禦。

Web應用基礎、常見漏洞，最後詳細的對漏洞例項進行了分析。SQL注入、XSS、CSRF等這些對於Web開發人員來說耳熟能詳的，但可能一知半解的術語都將在這個課程裡得到詳細的剖析。

第一部分資源連結如下：

這套PHP的教程包含了html/css/js和php+mysql保證一天看一課時的一個月就可以掌握，檔案中的“就業班”的資料夾包括了一些後續的jquery+ajax+xml等等， 在前期的學習過程中這些後續知識可以選擇性學習

下面這個連結是HTTP協議的教程來源自燕十八php教程中，我覺得這個http講解的非常好

在學習了上面教程恭喜你已經簡單的入門了Web，接下來了就是進行安全的學習，這方面我就給大家一個教程就是小迪的，剩下的網路上的教程個人覺得都不太適 合入門，除了個別的不錯，大部分都是直入主題之家講怎麼利用，不適合學習！

教程中工具連線

注:在學習完成以上知識後就可以在各大漏洞平臺找一些目標來實際的挖洞一下，前期肯定是花大量的時間也不一定的夠挖到，所以可以加i春秋的聊天群問問大佬！

第二部分資源連結如下：

好了，在學習上面的教程中已經可以算是安全入門了，不過接下來還需要在一部進行學習

這部分是沒有什麼教程的，需要自己去百度學習，學習的內容就是2003、2008作業系統聽著很簡單對不對？

我需要大家使用以上的作業系統使用網上的已有的CMS(如:discuz,WordPress,phpcms,dedecms等)大家一個站點，從在伺服器上安裝和配置php+apache+mysql等環 境開始，不要使用整合工具偷懶，去體會一個網站的搭建流程，知道是什麼ftp，什麼是空間，在網上買的虛擬主機和伺服器，vps是個什麼區別？什麼是CMS目標站點？

我建議是自行在空間商購買一個伺服器，價格一個月在100以內就可以了！ 注:如果是不能購買那麼請學習安裝虛擬機器本地使用映象搭建伺服器環境

以上的內容的最好通過百度自己完成，這些小問題都是百度都可以解決，要學會使用百度，不要什麼問題都去問別人！！！

接下來肯定是一部分的linux知識學習了

是一個線上的教程

接著可以學習一門可以方便我們寫exploit利用工具的程式語言，首選肯定是python 優點：入門快，網路程式設計擁有強大的各種庫做支援，更易編寫工具

一套的簡易的線上教程，來自於中谷python，學習完畢後寫一些簡單的GET/POST型工具練練手不是問題

注:第二部分的同樣的很重要，瞭解網站的搭建構成，什麼是CMS，對滲透很有幫助，現在大多數的網站基本上都是使用的CMS建站，因為安全，方便，模板樣式也多，通常在滲透過程中我們對目標的資訊收集就要著重關注這些程式的版本是不是最新的？如果不是有沒有漏洞呢？

第三部分資源連結如下：

這部分是一大塊，我不打算在細分了，之前的內容幾個月就可以完成，下面的內容能1年內完成都可以說是很不錯的！

這部分我認為應該需要掌握TCP/IP原理以及進一步的提升程式設計技術。

教主的TCP/IP教程

傳智的前端的教程，非常推薦學習！

傳智的的Java教程，選擇性學習，如果感興趣Java的可以學習。如果不學習也可以看看裡面的oracle資料庫教程！

有兩套Python的教程，都是系統的pythonWeb開發，選擇一套學習即可
連結: https://pan.baidu.com/s/1jKf6Fxs 密碼: 2mes

結語：
其實在接觸了Web安全1年之後大家都自己也能知道自己以後的學習目標，第三部分主要還是推薦些好的資源！
學習過程中，尤其是前期學習千萬不要放棄，三天兩頭的進行學習，同時學習的過程中要記錄圖文並茂的筆試，最重要的進行實踐，實踐，實踐！
在實踐中發現問題，解決問題！
安全非一朝一夕之事

解密密碼請看壓縮包註釋，謝謝

帶你入坑和逗比表哥們一起聊聊黑客的事兒，他們說高精尖的技術比農藥都好玩~