为什么零基础学习网络安全建议从web安全开始

　　安全行业的技术人员大多数都是从 web 安全学起的，一路走来成为大佬之后也会建议初学者先学习 web 安全，那么为什么会出现这样的情况呢？

　　我认为一方面是因为前些年，互联网时代爆发，大量的 web 应用出现在大众视野，由于发展速度极快加上安全意识不足，导致大量存在安全问题的应用上线，web 安全问题大量涌现，这一批的安全从业人员都是从黑站开始自己的安全职业生涯。

　　后面又出现了移动互联网时代、5 G 时代、IOT 时代，安全问题的主体发生了变化，大家也越来越感觉到 web 安全问题越来越少，做渗透测试的人员，挖到漏洞的数量越来越少，工作产出的价值也越来越小。而新的时代面临的安全问题虽然比较多，但是门槛有了大的提高。那么如今的安全从业人员该怎么入门安全这个行业呢？

　　之前我也说过，安全不是以主体存在的，主体是基础设施，比如：web 应用、移动 APP、IOT 设备、人员、网络、操作系统等，如果想要找出任何实体的安全问题，首先要做的就是对主体的理解和熟悉，如果你对主体一无所知，那么如何找出主体的安全问题呢？

　　单纯熟悉主体还不够，作为安全从业人员应该拥有一项特殊的技能，就是安全的思维，不走寻常路的极客思维，主体规定好的使用场景不是我们重点关注的，我们关注的是能够突破现有的使用方式，用一些主体想不到的方式进行尝试，从而找出安全问题。那么安全这种思维如何锻炼呢？

　　我们在大学的时候都会学一些编程知识，会写一些客户端软件或者 web 应用。由于 web 安全相对其他方向来说发展的时间最长，也是最成熟的，互联网行业的编程知识是基础，相对而言，学习 web 安全是最简单方便的，从 web 安全的学习过程中可以锻炼我们的安全思维或者极客思维，让我们在考虑问题的时候，更多的考虑边界之外的事情，比如，一个输入框，要求我输入数字，那我可能就要尝试负数、字母等要求之外的参数，如果没有做严格的限制和检查，那么这个输入框就是有问题的。

　　同样的，任何安全问题就是在设计之初没有考虑到的、或者觉得没有必要做的事情，比如：越权的问题就是在设计的时候没有考虑权限问题，认为没有提供操作的按钮就没人做额外的操作。

　　做安全大家都说攻防，攻击就是找主体的脆弱点，突破主体的限制达到额外的效果，而防御一开始可能没有，随着攻击者的不断突破，防御的措施也在不断的加强，从而让主体越来越安全，一直以来都是攻击在前，防御在后。安全从业人员也都有一个共识，没有百分之百安全的系统，也就是防御是防不住的，安全防御人员能做的就是提高攻击的门槛，做好事后应急和溯源打击，让攻击者不敢发动攻击，减少安全事件的发生。

　　网络安全培训核心课程，以知了堂为例，包含以下部分：1、系统安全：windows系统服务器+Linux系统服务器+系统安全加固2、网络安全：网络基础+路由交换+网络安全设计+安全产品3、WEB安全：编程基础、Python、数据库安全、SQL注入、XSS、CSRF、上传漏洞、逻辑漏洞4、渗透测试：渗透测试流程工具、信息收集、社工学、漏洞扫描利用、渗透提权、后门木马5、安全服务：安全法、安服工作流程与报告编写、安全加固一般来说，网络安全以后可以从事渗透测试、安全运维、安全运营，攻防渗透、等保测评等相关岗位。而不同的岗位对于每个人的技术能力要求则不一样。当然，有些岗位的能力要求高，有些能力的要求低。以后的薪资待遇也不一样。