想学 Web 安全，请教学习路径

方向性问题应该问知乎，大二搞过一下信息安全，网站无非是 i 春秋，合天网安，实验楼这类在线学习实践的，还有些安全社区，很多我都忘了，所以建议去知乎看专业人士回答。

同楼上，知乎搜索一下，我记得有些不错的回答。

CTF Wiki 可以看看： https://ctf-wiki.github.io/ctf-wiki/web/introduction/

我记得余弦有张技能图 里面写的挺详细的。
然后之前知乎长短短有个 live

看书 /网课，自己搭环境多练练手

平时追一些 cve 和新漏洞，有机会复现一下，提高蛮大的

小姐姐要不要我教你，刚好我自己在整理这方面的东西。

楼上推荐的都很不错，在此推荐 91 日。

没编辑完不小心发出来了。。唉，不写了。基本意思应该已经表达清楚了。

@t6attack 你上面说的这些基本上不是被关就是停更了。。。。。。。。

最近刚发现的 bugku

V2EX 里通常提到知乎都是在黑的，但不得不说你这类问题去看知乎的质量回答比在这里提问有用多了。

平时做 web app，服务器安全方面基本是运维搞掂，单纯安全的话就业开始可能比较窄。不如你可以先往运维方向，然后越做越专，有一定经验后，后期你基本就是可以做安全顾问了，那时候你就是指挥别人做，可能你就写写文档偶尔敲下命令了。

基本的 web 开发和数据库知识这块需要了解下
可以去 owasp 学到很多关于 web 安全的基础知识，攻击方式等等~
pediy 比较偏向系统安全，web 是后期起来的，所以这块知识可能不够丰富
phrack，最著名的黑客杂志，也可以看看，反正以前看的时候很少看到 web 这块的东西~

@zzNucker 这正是我想表达的。一方面，ZF 对这类网站极不友好，甚至直接动用公安查抄做的最大的几家。导致剩下的网站风声鹤唳，要么主动关停、要么不再更新。入侵教程也大量删除。
另一方面，分享的时代已经过去了。技术趋于垄断和封闭。这导致网上能学到的东西很少了。
关于 web 安全知识，最新最全的，其实就是乌云，其历史漏洞列表，几乎囊括了所有的 web 漏洞形式。可惜也没有然后了。

想学习，建议买书看。比如《白帽子讲 Web 安全》。

web 安全入门很快的，杂乱点的话，去乌云镜像站刷刷别人提交的漏洞，同时打好编码的基础。
来这里看看，Github 上搜：Web-Security-Learning
p 牛的 vulhub 练手很方便，Github 上搜：vulhub
或者更系统的去学习。

楼上说都都很多了，安全从业者来给你泼瓢凉水。

你说自己本科就是安全专业，如果真的有兴趣为什么那个时候不学呢，研究生根本没接触，现在才开始有点晚了。
另外，你提到安全行业好像轻松很多，有双休，所以你才想做安全，我就恶意的揣测一下你的动机，你并不是真的喜欢安全，你只是不想做开发那么累的工作（猜的不对的话我道歉）。

俗话说，光看贼吃肉，没看贼挨打。要是有这样轻松的工作，为啥安全行业人才还是那么少呢，为啥工资还高呢？

我建议你把安全当个爱好还是不错的，临时抱佛脚找安全工作还是算了吧，没戏。

安全这领域不是业界有点名气的,我估计很难吧,而且知识面要求是相当的广.

@Greenm 可能我表述有点问题，我现在找的工作是周末双休，比较轻松的，因此有空余时间，对于安全想当个爱好去学。研究生阶段搞实验等等去了，我是学硕，我们毕业对论文要求很严格的。本科的时候学了一点，都忘记的差不多了。

@t6attack 现在国家对网络安全这块管的越来越严格了，最近正在看《白帽子将 Web 安全》

@shrimp929 同意 17 楼说的，况且你一年前也问过类似的问题，一年过去了还在问这样的问题。真的是无语了

@shrimp929 抱歉，有点误解了。

如果是这样的话，那我还是首先推荐你看一些书，能够打好基础，对你本身开发工作也有帮助。

不推荐上论坛，没有基础的人上论坛也是一脸懵，学不到东西。

可以先玩一下 webgoat，内容都是最常见的 Web 漏洞，你有基础应该很快能捡起来。

看到这个话题，突然心悸了下。和楼主不一样，我只是个普通本科的信息安全专业，刚毕业一年多。目前在做开发工作，也经常对未来的路感到迷茫

网络安全是你对建网站本身有一定了解后，才能开始学的

@zzNucker #3 http://blog.knownsec.com/Knownsec_RD_Checklist/ 大兄弟应该说的是这个吧

@hymxm 是的

帮搜: https://www.amazon.cn/s/ref=nb_sb_noss_1?__mk_zh_CN=%E4%BA%9A%E9%A9%AC%E9%80%8A%E7%BD%91%E7%AB%99&url=search-alias%3Daps&field-keywords=web%E5%AE%89%E5%85%A8

@wongskay 好啊

@zzNucker 恩，知道创宇的技能图，这个我也知道，感觉知识好多啊

- - 搞安全并不轻松啥周末双休。。。。

一个安全响应的时候，得加班得爬起来。。苦逼的时候就老苦逼了，而且做安全有很多方向，做渗透呢还是做安全研发呢等等。

@shrimp929 live 了解一下 https://www.zhihu.com/lives/789438546632015872

985 硕士还这么迷茫吗。。。。

安全真的很累，并不是想象中的那么轻松

搞安全很累的说。。。

@whwq2012 我不迷茫啊，我的工作已经找好了，只是想把安全当做兴趣，来这里提问是想得到更多的建议

一杯茶一包烟，一个破站盯一天

当前安全行业半自由。以前搞渗透做服务的。现在偶尔做点渗透方面的事情。主要精力在 CTF 比赛方面。给个我在 17 年知乎上的一个回答。希望能够给你一点启发
https://www.zhihu.com/question/67765799/answer/259845720

目前为止所有的社会圈子，，特别信息安全并没有特别好的地方，所有圈子都在 wooyun 倒后，开始了私有化，几个熟悉技术好的人凑在一起交流。对新手而言会很难受，如果真的想搞，就多看看书《白帽子讲 web 安全》《代码审计》多看看 wooyun 镜像的案例。

建议先学下如何建站，至少要理解前端和后端以及数据库。然后买一本《白帽子讲 web 安全》作为入门。
学习路线可以参考如下链接： https://www.sec-wiki.com/skill/2

可以半工半读一个线上的网络安全硕士学位，虽然现在国家不承认了，但老美还是认的，和线上上的具有同等效力。刚工作，正是学习扎根的好时候，祝福你！

请问楼主现在是从事安全行业吗