当前位置：首页 > news >正文

网络安全专业岗位详解+自学学习路线图

news 文章来源：https://blog.csdn.net/2401_83799022/article/details/138663231 2025/4/20 14:27:06

很多网安专业同学一到毕业就开始迷茫，不知道自己能去做哪些行业？其实网络安全岗位还是蛮多的，下面我会介绍一些网络安全岗位，大家可以根据自身能力与喜好决定放哪个方向发展。

渗透测试/Web安全工程师

主要是模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议;需要用到数据库、网络技术、编程技术、渗透技术等。
任职要求：
1.熟悉渗透测试步骤、方法、流程，具备独立开展渗透工作的能力；
2.熟练掌握WEB安全和漏洞挖掘，熟悉漏洞的原理、方法、利用手段及解决方案；
3.至少掌握一种编程语言，能编写漏洞检测或利用工具；
4.了解代码安全审计的流程、方法及主流代码审计工具的使用；
5.具备CISP/CISP-PTE/CISP-PTS等信息安全领域相关证书者优先。

安全运维/安全服务工程师

主要是对安全防御体系的运维和应急响应工作。能够熟练配置安全设备，具有极强日志分析能力。需精通渗透技术、安全设备原理，知识面要求广，实战能力强。
任职要求：
1.熟悉Owasp ****0漏洞原理、攻击、防御；
2.熟悉常见安全设备，并能够基于安全设备进行分析、处置；
3.熟悉linux等操作系统，能够开展应急响应工作；
4.熟悉安全评估流程；
5.熟悉各类安全工具，如漏洞扫描、基线检查等工具；
6.持有信息安全相关证书CISP、CISSP、CISA、ISO27001等优先考虑。

安全开发工程师

规划、设计并建立公司应用安全整体架构，识别应用系统在架构设计、开发测试、发布上线、运行维护各个阶段的安全风险，提出有效解决方案并落地实施，公司内部安全平台的设计与开发，持续开发迭代平台。
任职要求：
1.有IT技术从业工作经验；
2.熟练掌握Python/Go/C/C++等至少一种语言，和主流WEB框架；
3.了解Spring Boot、Spring MVC、Vue、JavaScript等常用的设计模式和开源框架，有扎实的开发或开发管理技术基础，自学能力强；
4.熟悉信息安全相关知识，具有国内外知名网络安全公司工作经验者优先；
5.具有CISD/CISP/CISSP等网络和信息安全相关认证证书者优先。

安全售前工程师

与客户沟通接洽，根据己方产品，设计技术方案，满足甲方安全需求。需精通服务器，网络技术，安全设备，攻防技术，并对安全趋势跟踪紧密，表达能力和文档能力。
任职要求：
1.具有良好的沟通表达能力与文档编写能力；
2.拥有信息安全相关从业经验，有网络安全或数据安全产品实施、维护经验，熟悉Linux常见操作令；
3.熟悉网络安全相关法律法规以及重要标准，如数安法、个保法、等保2.0、ISO27001等；
4.熟悉项目招投标过程，能根据招标书要求，独立编制投标书、参加招投标会，进行技术讲解和答疑；
5.加分条件：具有信息安全类公司技术研发工作经验；具有CISSP、CISA、CISP等信息安全类资质认证。

如果你现在对于网安还是半懂的状态，可以看看下面我给出的这个学习路线图，教你从零基础到到进阶如何学习

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

如果你把每周要学的内容精细化到这种程度，你还会担心学不会，入不了门吗，其实说到底就是学了两个月，但都是东学一下，西学一下，什么内容都是浅尝辄止，没有深入进去，所以才会有学了2个月，入不了门这种感受。（友情提示：觉得有帮助的话可以收藏一下本篇，免得后续找不到）

1、Web安全相关概念（2周）

熟悉基本概念（SQL注入、上传、XSS、CSRF、一句话木马等）。
通过关键字（SQL注入、上传、XSS、CSRF、一句话木马等）进行Google/SecWiki；
阅读《精通脚本黑客》，虽然很旧也有错误，但是入门还是可以的；
看一些渗透笔记/视频，了解渗透实战的整个过程，可以Google（渗透笔记、渗透过程、入侵过程等）；

2、熟悉渗透相关工具（3周）

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。
了解该类工具的用途和使用场景，先用软件名字Google/SecWiki；
下载无后门版的这些软件进行安装；
学习并进行使用，具体教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；
待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱；

3、渗透实战操作（5周）

掌握渗透的整个阶段并能够独立渗透小型站点。
网上找渗透视频看并思考其中的思路和原理，关键字（渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等）；
自己找站点/搭建测试环境进行测试，记住请隐藏好你自己；
思考渗透主要分为几个阶段，每个阶段需要做那些工作；
研究SQL注入的种类、注入原理、手动注入技巧；
研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等；
研究XSS形成的原理和种类，具体学习方法可以Google/SecWiki；
研究Windows/Linux提权的方法和具体使用；

4、关注安全圈动态（1周）

关注安全圈的最新漏洞、安全事件与技术文章。
通过SecWiki浏览每日的安全技术文章/事件；
通过Weibo/twitter关注安全圈的从业人员（遇到大牛的关注或者好友果断关注），天天抽时间刷一下；
通过feedly/鲜果订阅国内外安全技术博客（不要仅限于国内，平时多注意积累），没有订阅源的可以看一下SecWiki的聚合栏目；
养成习惯，每天主动提交安全技术文章链接到SecWiki进行积淀；
多关注下最新漏洞列表，推荐几个：exploit-db 、CVE中文库、Wooyun等，遇到公开的漏洞都去实践下。
关注国内国际上的安全会议的议题或者录像，推荐SecWiki-Conference。

5、熟悉Windows/Kali Linux（3周）

学习Windows/Kali Linux基本命令、常用工具；
熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；
熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；
熟悉Kali Linux系统下的常用工具，可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；
熟悉metasploit工具，可以参考SecWiki、《Metasploit渗透测试指南》。

6、服务器安全配置（3周）

学习服务器环境配置，并能通过思考发现配置存在的安全问题。
Windows2003/2008环境下的IIS配置，特别注意配置安全和运行权限，；
Linux环境下的LAMP的安全配置，主要考虑运行权限、跨目录、文件夹权限等；
远程系统加固，限制用户名和口令登陆，通过iptables限制端口；
配置软件Waf加强系统安全，在服务器配置mod_security等系统；
通过Nessus软件对配置环境进行安全检测，发现未知安全威胁。

7、脚本编程学习（4周）

选择脚本语言Perl/Python/PHP/Go/Java中的一种，对常用库进行编程学习。
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；
Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；
用Python编写漏洞的exp，然后写一个简单的网络爬虫；
PHP基本语法学习并书写一个简单的博客系统，参见《PHP与MySQL程序设计（第4版）》、视频；
熟悉MVC架构，并试着学习一个PHP框架或者Python框架（可选）；
了解Bootstrap的布局或者CSS;

8、源码审计与漏洞分析（3周）

能独立分析脚本源码程序并发现安全问题。
熟悉源码审计的动态和静态方法，并知道如何去分析程序；
从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析；
了解Web漏洞的形成原因，然后通过关键字进行查找分析；
研究Web漏洞形成原理和如何从源码层面避免该类漏洞，并整理成checklist。

9、安全体系设计与开发（5周）

能建立自己的安全体系，并能提出一些安全建议或者系统架构。
开发一些实用的安全小工具并开源，体现个人实力；
建立自己的安全体系，对公司安全有自己的一些认识和见解；
提出或者加入大型安全系统的架构或者开发；

这个路线图已经详细到每周要学什么内容，学到什么程度，可以说我整理的这个We安全路线图对新人是非常友好的，除此之外，我还给团队小伙伴整理了相对应的学习资料

如果你需要的话，我也可以分享一部分出来（涉密部分分享不了），需要的可以在下面自取！

2024最新网络安全必备工具、学习、面试资料

网络安全专业岗位详解+自学学习路线图

如果你现在对于网安还是半懂的状态，可以看看下面我给出的这个学习路线图，教你从零基础到到进阶如何学习

相关文章：

网络安全专业岗位详解+自学学习路线图

mybatisPlus一个事务中切换数据源概述

如何在Android手机上恢复已删除的视频？

【项目实战】使用Github pages、Hexo如何10分钟内快速生成个人博客网站

大数据中服役新数据节点和退役旧节点步骤（hive，hadoop）

数论：不定方程的引入

数据中心法

pdffactory pro8.0虚拟打印机（附注册码）

处理用户输入

在装有centOS7的虚拟机上进行MySQL的安装部署

【vivado】debug相关时钟及其约束关系

什么是HTTP/2？

【ChatGPT with Date】使用 ChatGPT 时显示消息时间的插件

STM：TIM定时器——定时中断

jetson tx2 nx实现在ros1中yolov5实现

【SpringBoot笔记43】SpringBoot应用程序集成spring-boot-admin监控工具

与队列和栈相关的【OJ题】

Unity编辑器扩展

【kettle】kettle访问数据库系列文章及视频地址（更新中）

共赴科技盛会“2024南京智博会”11月在南京国际博览中心召开

刷代码随想录有感（62）：修建二叉搜索树

AVL树的旋转

C++(动态规划之拆分整数)

unix C之环境变量

Flutter实战记录-协作开发遇到的问题

Linux 安装JDK和Idea

c#绘制渐变色的Led

LifeCycle之ProcessLifeCycleOwner

C++ | Leetcode C++题解之第79题单词搜索

如何通过PHP语言实现远程控制空调