####1、Web安全相关概念(2周) 1. 熟悉基本概念 ([SOL注入](https://pan.shyngo.cn/list/%E7%BD%91%E7%BB%9C%E5%AD%A6%E4%B9%A0%E4%B9%A6%E7%B1%8D%E5%A4%A7%E5%85%A8/sql "SOL注入")、上传XSS、CSRF、一句话木马等)。 2. 通过关键字 (SQL注入、上传、XSS、CSRF、一句话木马等) 进行 Google/SecWiki;3.阅读《精通脚本黑客》，虽然很旧也有错误，但是入门还是可以的;4.看一些渗透笔记/视频，了解渗透实战的整个过程，可以Google(渗透笔记、渗透过程、入侵过程等) ; ####2、熟悉渗透相关工具(3周) 1. 熟悉AWVS、sqlmap、Burp.nessus、 chopper、nmap、Appscan等相关工具的使用。 2. 了解该类工具的用途和使用场景，先用软件名字Google/SecWiki; 3. 下载无后门版的这些软件进行安装4.学习并进行使用，具体教材可以在SecWiki上搜索，例如: Brup的教程sqlmap; 5. 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱; ####3、渗透实战操作(5周) 1. 网上找渗透视频看并思考其中的思路和原理，关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等); 2. 自己找站点/搭建测试环境进行测试，记住请隐藏好你自己; 3. 思考渗透主要分为几个阶段，每个阶段需要做那些工作; 4. 研究SQL注入的种类、注入原理、手动注入技巧; 5. 研究文件上传的原理，如何进行截断、双重后缀欺骗(dIS、PHP)、解析漏洞利用 (lIS、Nignix、Apache) 等;6.研究XSS形成的原理和种类，具体学习方法可以Google/SecWiki;7.研究Windows/Linux提权的方法和具体使用， ####4、关注安全圈动态（1周) 1. 关注安全圈的最新漏洞、安全事件与技术文章。 2. 通过Secwiki浏览每日的安全技术文章事件; 3. 通过Weibo/twitter关注安全圈的从业人员 (遇到大牛的关注或者好友果断关注) ，天天抽时间刷一下; 4. 通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内，平时多注意积累) ，没有订阅源的可以看一下SecWiki的聚合栏目; 5. 养成习惯，每天主动提交安全技术文章链接到SecWiki进行积淀;6.多关注下最新漏洞列表，推荐几个。exploit-db、CVE中文库、Wooyun等，遇到公开的漏洞都去实践下。7.关注国内国际上的安全会议的议题或者录像，推荐SecWiki-Conference。 ####5、熟悉Windows/Kali Linux (3周) 1. 学习Windows/Kali Linux基本命令常用工具; 2. 熟悉Windows下的常用的cmd命令，例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等; 3. 熟悉Linux下的常用命令，例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;熟悉Kali Linux系统下的常用工具，可以参考SecWiki,《Web PenetrationTesting with Kali Linux》《Hacking with Kali》 等;5.熟悉metasploit工具，可以参考SecWiki、《Metasploit渗透测试指南》