软件工程怎么自学网络安全？

一、软件工程怎么自学网络安全？

首先我们来看一下百度百科的介绍（引用下图）

由于web安全工程师（网络安全工程师）是一个非常有技术含量的工作，需要大家具备很多的专业知识技能，而且他们的福利待遇也非常不错，那么web安全工程师具体需要学习哪些内容呢？？

一、需要学习的内容

1、SQL注入类型：

报错注入、布尔盲注、时间盲注、DNSLog盲注、二次注入、宽字节注入、还有伪静态SQL注入；

2、SQL XSS、XXE、SSRF等命令执行均无回显，怎样去测试证明这个漏洞的存在；

3、PHP代码审计常见危险函数测试思路防御方面了解的情况；

成为一名Web安全工程师需要扎实的基础，系统的学习和攻防模拟演练，培养独立完成项目实战的能力。如果你能掌握使用和防御安全漏洞的高级方法，熟练使用渗透测试工具的高级技能，手动使用漏洞，掌握外网渗透和内网渗透的技术，掌握PHP代码审计、python安全脚本开发的技能，那么你在Web安全行业就已经有所成就了。

二、web安全工程师需要具备哪些专业知识和技能？

1、熟练掌握计算机和网络基础理论。

2、精通黑客（红蓝）攻防技术、网络设备调试技术、信息安全技术和数据分析技术。

3、精通网络管理平台和网络安全解决方案的设计，这是网络安全工程师技能的重要指标。

4、必备的计算机专业英语水平。网络安全中随处可见英文，无论是代码语言还是产品介绍和配置。

5、具备高强度压力下冷静解决问题的能力。这不是一项技能，是网络安全工程师需要具备的一项素质，这一点极其重要，无论是技术岗位的渗透测试工程师，还是专注于售后服务的网络安全产品工程师。

6、需要熟练掌握一门以上开发语言（Python、C/C++、PHP、JAVA等）。

三、web安全工程师学习路线图

上面的两个大类说的只是理论要求，而下面放的图才是真正的干货，要学习的赶紧点赞收藏起来了。

最后！！唠叨一句！！！一定要坚持啊，越难的路途却是人生的上坡路啊~~~

………………………………分…………………割………………………线…………………………………………

2023年1月31日20:51:02

晚上刚想起来还有个学技术的导航站可以供你们各种方式学习、练习的网站。

(掌控安全导航）

https://i.zkaq.cn/

有些大佬可能知道这个，我是分享给想入行的小白的哈。

二、自学网络安全方面需要学会哪些知识？

这是在其他地方答的。希望对题主有帮助。

需要先明白自己想往那方面发展，是硬件方面还是软件方面，web还是app还是二进制等。就是要先选一个方向，然后找相关的资料去学。当然还要再去看下信息安全法，现在网络法规都已经出台。

不考虑细分行业，大体上讲的话如下。

首先，了解黑客术语和基本概念。比如黑客术语中什么是漏洞，后门，肉鸡，跳板，提权，webshell，0day，1day等。相关的基本概念如SQL注入，上传，XSS, CSRF等。

熟悉黑客工具：

熟悉Burp Suit， Nmap，SQLMAP, Metasploit等黑客常用相关工具。以上列举的四款都是目前很常用的工具。

Burp Suit： 攻击web应用程序的集成平台。

Nmap：用于扫描和检查开放端口的很棒的工具。

Metasploit：一款开源的安全漏洞检测工具。

SQLmap：检测和利用SQL漏洞的注入神器。

了解电脑操作系统。Windows/ Kali。这里不是说把系统知识吃透，先有个大体了解。就比如你在用一个工具的时候，了解某个部件是做什么用的，有什么功能。学习系统的基本命令，常用工具。熟悉windows下常用的cmd命令，Linux常用命令，Kali系统下的常用工具。

接触到系统命令后就找出自己感兴趣的语言进行学习。 黑客用的比较多的是Python。

入门书本推荐：《Linux渗透测试技术详解》 《python核心编程》 《 白帽子讲web安全》《 sql注入攻击与防御》

去论坛看大神的学习心得和学习思路。 论坛推荐：CSDN, 知乎，i春秋这些是黑客常用的专业的论坛，很多技术交流。 去google或者平台看一些渗透或者工具操作的视频。

三、想自学网络安全，不知该从哪方面开始？

首先，必须（时刻）意识到你是在学习一门可以说是最难的课程，是网络专业领域的顶尖课程，不是什么人、随随便便就能学好的。不然，大家都是黑客，也就没有黑客和网络安全的概念了。

很多朋友抱着学一门课程、读好一本书就可以掌握网络安全的知识和技能。不幸的是，网络安全技术决不是几本书、几个月就可以速成的。你需要参考大量的参考书。

另一方面，在学校接受的传统教育观念使我们习惯由老师来指定教材、参考书。遗憾的是走向了社会，走到工作岗位，没有人给你指定解决这个安全问题需要什么参考书，你得自己研究，自己解决问题。

网络安全涉及的知识面广、术语多、理论知识多。正给学习这门课程带来很多困难。也需要我们投入比其它课程多的时间和精力来学习它。

概括来说，网络安全课程的主要内容包括：

l 安全基本知识

l 应用加密学

l 协议层安全

l Windows安全（攻击与防御）

l Unix/Linux安全（攻击与防御）

l 防火墙技术

l 入侵监测系统

l 审计和日志分析

下面分别对每部分知识介绍相应的具体内容和一些参考书（正像前面提到的那样，有时间、有条件的话，这些书都应该看至少一遍）。

一、安全基本知识

这部分的学习过程相对容易些，可以花相对较少的时间来完成。这部分的内容包括：安全的概念和定义、常见的安全标准等。

大部分关于网络安全基础的书籍都会有这部分内容的介绍。

下面推荐一些和这部分有关的参考书：

l 《CIW：安全专家全息教程》 魏巍 等译，电子工业出版社

l 《计算机系统安全》 曹天杰，高等教育出版社

l 《计算机网络安全导论》 龚俭，东南大学出版社

二、应用加密学

加密学是现代计算机（网络）安全的基础，没有加密技术，任何网络安全都是一纸空谈。

加密技术的应用决不简单地停留在对数据的加密、解密上。密码学除了可以实现数据保密性外、它还可以完成数据完整性校验、用户身份认证、数字签名等功能。

以加密学为基础的PKI（公钥基础设施）是信息安全基础设施的一个重要组成部分，是一种普遍适用的网络安全基础设施。授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。

可以说，加密学的应用贯穿了整个网络安全的学习过程中。因为之前大多数人没有接触过在这方面的内容，这是个弱项、软肋，所以需要花费比其它部分更多的时间和精力来学习。也需要参考更多的参考书。

下面推荐一些和这部分有关的参考书：

l 《密码学》 宋震，万水出版社

l 《密码工程实践指南》 冯登国 等译，清华大学出版社

l 《秘密学导引》 吴世忠 等译，机械工业（这本书内容较深，不必完全阅读，可作为参考）

三、协议层安全

系统学习TCP/IP方面的知识有很多原因。要适当地实施防火墙过滤，安全管理员必须对于TCP/IP的IP层和TCP/UDP层有很深的理解、黑客经常使用TCP/IP堆栈中一部分区或来破坏网络安全等。所以你也必须清楚地了解这些内容。

协议层安全主要涉及和TCP/IP分层模型有关的内容，包括常见协议的工作原理和特点、缺陷、保护或替代措施等等。

下面推荐一些和这部分有关的参考书（经典书籍、不可不看）：

l 《TCP/IP详解 卷1：协议》 范建华 等译，机械工业出版社

l 《用TCP/IP进行网际互联 第一卷原理、协议与结构》 林瑶 等译，电子工业出版社

四、Windows安全（攻击与防御）

因为微软的Windows NT操作系统已被广泛应用，所以它们更容易成为被攻击的目标。

对于Windows安全的学习，其实就是对Windows系统攻击与防御技术的学习。而Windows系统安全的学习内容将包括：用户和组、文件系统、策略、系统默认值、审计以及操作系统本身的漏洞的研究。

这部分的参考书较多，实际上任何一本和Windows攻防有关系的书均可。下面推荐一些和这部分有关的参考书：

l 《黑客攻防实战入门》 邓吉，电子工业出版社

l 《黑客大曝光》 杨继张 等译，清华大学出版社

l 《狙击黑客》 宋震 等译，电子工业出版社

五、Unix/Linux安全（攻击与防御）

随着Linux的市占率越来越高，Linux系统、服务器也被部署得越来越广泛。Unix/Linux系统的安全问题也越来越凸现出来。作为一个网络安全工作者，Linux安全绝对占有网络安全一半的重要性。但是相对Windows系统，普通用户接触到Linux系统的机会不多。Unix/Linux系统本身的学习也是他们必须饿补的一课！

下面是推荐的一套Linux系统管理的参考书。

l 《Red Hat Linux 9桌面应用》 梁如军，机械工业出版社（和网络安全关系不大，可作为参考）

l 《Red Hat Linux 9系统管理》 金洁珩，机械工业出版社

l 《Red Hat Linux 9网络服务》 梁如军，机械工业出版社

除了Unix/Linux系统管理相关的参考书外，这里还给出两本和安全相关的书籍。

l 《Red Hat Linux安全与优化》 邓少，万水出版社

l 《Unix 黑客大曝光》 王一川 译，清华大学出版社

六、防火墙技术

防火墙技术是网络安全中的重要元素，是外网与内网进行通信时的一道屏障，一个哨岗。除了应该深刻理解防火墙技术的种类、工作原理之外，作为一个网络安全的管理人员还应该熟悉各种常见的防火墙的配置、维护。

至少应该了解以下防火墙的简单配置。

l 常见的各种个人防火墙软件的使用

l 基于ACL的包过滤防火墙配置（如基于Windows的IPSec配置、基于Cisco路由器的ACL配置等）

l 基于Linux操作系统的防火墙配置（Ipchains/Iptables）

l ISA配置

l Cisco PIX配置

l Check Point防火墙配置

l 基于Windows、Unix、Cisco路由器的VPN配置

下面推荐一些和这部分有关的参考书：

l 《

网络安全与防火墙技术

》 楚狂，人民邮电出版社

l 《Linux防火墙》

余青霓

译，人民邮电出版社

l 《高级防火墙ISA Server 2000》 李静安，中国铁道出版社

l 《Cisco访问表配置指南》 前导工作室 译，机械工业出版社

l 《Check Point NG安全管理》

王东霞

译，机械工业出版社

l 《虚拟专用网（VPN）精解》 王达，清华大学出版社

七、入侵监测系统（IDS）

防火墙不能对所有应用层的数据包进行分析，会成为网络数据通讯的瓶颈。既便是代理型防火墙也不能检查所有应用层的数据包。

入侵检测是防火墙的合理补充，它通过收集、分析计算机系统、计算机网络介质上的各种有用信息帮助系统管理员发现攻击并进行响应。可以说入侵检测是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

希望对你有帮助[呲牙][呲牙]

四、自学网络安全工程师，需要学习哪些东西？

第一部分，基础篇，包括安全导论、安全法律法规、web安全与风险、攻防环境搭建、核心防御机制、HTML&JS、PHP编程等。

第二部分，渗透测试，包括渗透测试概述、信息收集与社工技巧、渗透测试工具使用、协议渗透、web渗透、系统渗透、中间件渗透、内网渗透、渗透测试报告编写、源码审计工具使用、PHP代码审计、web安全防御等。

第三部分，等级保护，包括定级备案、差距评估、规划设计、安全整改、等保测评等。

第四部分，风险评估，包括项目准备与气动、资产识别、脆弱性识别、安全措施识别、资产分析、脆弱性分析、综合风险分析、措施规划、报告输出、项目验收等。

五、怎么自学编程，自学英语？

不一定。学编程的人最根本的还是要数学底子好，所有的算法都是靠严密的思维逻辑才能够行得通的。

编程语言要写大量源代码，其实只要是认得26个字母的人都可以编程。但是毕竟程序这个东西是西方那里过来的，我们现在编程的代码都是英文字母。

先进的计算机编程技术也都是西方那里学过来的，一些大型的计算商用程序大多数被西方垄断。

如果要想在编程上有所进展，学习英语对拓展视野大有用处。

国内也有编程不用英文字母写源代码的，比如说易语言，所以学习编程外语不一定要很好，将来中国强大了，源代码用中文写，不也是很好嘛！我们的雷军，英语虽然不是很好，但编程可也是一流的，这正说明了学编程不一定要英语很好。

六、怎么自学IT？

第一，在入门时强烈不建议跟着书学，不一定非要能看得懂，书本的知识不成体系，入门有入门的书，进阶有进阶的书，实战有实战的书，需要自己去选择，本身就不是一件易事；

第二，视频可以看到老师的操作，而书本全靠自己摸。现在网上培训班的入门、进阶、实战的系列视频不要太好找，找到这么两套视频，对比着看，或者跟着一套视频深入看，来得更容易。

学的深入了，可以找些专业或者官方的书籍，巩固知识点，深入理解文档，并规范自己的代码。

七、想学网络安全方向，自学，大家有推荐的视频吗？

推荐几个我觉得比较靠谱的吧

（先后顺序与推荐程度无关哈，我想到哪就写到哪的）

蜗牛学苑网络安全（B站上有全套课，真就是大补基础）

漏洞银行（bugbank）

掌控安全学院（我的启蒙老师，但我没买他的课，他们的免费靶场 封神榜 是真滴不错，平时也有些免费的 web 安全相关的直播课，就小白而言还是怪可以的）

deelmind（B站，YouTube上可以查到他的课，他B站的课是那一种带你了解每个经典web漏洞大概是怎么产生的，有什么危害，学习这个漏洞之前需要学什么知识…deelmind不会讲很深，但就可以让你对整体web安全要学的漏洞有个大体的了解。）

拼客学院（陈鑫杰老师我觉得他讲课还是怪有意思的，他们在拼客学院官网上有不少免费的网络安全相关的课，感兴趣的可以听一听。初次之外陈鑫杰老师在B站上也有号，会时不时出来解答大家的疑惑，可以关注下的）

小迪安全（B站上有全套免费的课，小迪不用说了吧，他是 n多人 的启蒙老师，除了有点口音之外他的视频确实偏向于攻击要多一些，基础反倒是不会讲很多）

书（链接我就放在文章下面了...陈鑫杰老师当初有推荐过几本书，我都买回来看了下，确实很值得读很值得看，书里的知识是成体系化的，虽然说网上都能找得到书上的知识，但看书无疑省了你查找资料的时间，而且知识会更全面一些）

微信公众号（有很多信安相关的公众号都是很良心滴，那些技术文章他是真的是毫无保留的发出来，让我们这些后辈收集…前辈真伟大！）

我推荐的东东

全都是存在免费部分可以学的

都可以尝试花点时间去学一下

对于新手而言…

对他们最有诱惑力的肯定是能否自主挖洞这件事了…

反正我上面的东东学的不多

可能只有 25% 左右（我推荐的所有哈）

我已经能够挖到一些简单的漏洞了

在没人带的情况下大概花了4个月?

愿师傅早日成为大神

然后带带我

下面是推荐的书籍：

八、网络安全怎么去做？

网络安全，通常指计算机网络的安全，实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径，因此，计算机网络是安全的，相应的计算机通信网络也必须是安全的，应该能为网络用户实现信息交换与资源共享。下文中，网络安全既指计算机网络安全，又指计算机通信网络安全。

安全的基本含义：客观上不存在威胁，主观上不存在恐惧。即客体不担心其正常状态受到影响。可以把网络安全定义为：一个网络系统不受任何威胁与侵害，能正常地实现资源共享功能。要使网络能正常地实现资源共享功能，首先要保证网络的硬件、软件能正常运行，然后要保证数据信息交换的安全。从前面两节可以看到，由于资源共享的滥用，导致了网络的安全问题。因此网络安全的技术途径就是要实行有限制的共享。

随着5g时代到来，网络安全的爆发出了非常大的前景。

九、网络安全怎么设置？

1.打开电脑的wifi，搜索路由器默认wifi名（路由器背面铭牌有写），连接wifi网络。

2.打开电脑浏览器，输入路由器背后铭牌的网关ip地址（一般是192.168.1.1），进入网关配置界面。

3.进入无线设置页面-安全模式设置WP2-PSK，WPA加密规则设置成AES，设置秘钥实现对路由器的安全设置。

十、美图怎么自学？

网上有非常多的教程，找点网课或者在一些软件上看看别人的经验，美图很简单