文章总结： 本文分享了Web信息安全学习路线，分为基础和进阶两部分。基础包括编程语言学习、系统网络知识和常见漏洞练习；进阶涵盖信息收集、内网渗透、代码审计、免杀、社工和攻防演练。作者建议优先选择红队岗位，多参与实战演练，专研特定方向如免杀或代码审计，通过持续学习和实践提升安全技能。 综合评分： 81 文章分类： WEB安全,渗透测试,安全培训,红队,内网渗透

Web信息安全-我走过哪些弯路？

原创

小虾安全

小虾安全

2025年6月22日 13:45 北京

点击蓝字 了解更多精彩

Web信息安全的建议

★

如果有得选，尽可能进入红队，安服岗位的同学可能杂事比较多，并且红队的积累会更多。尽可能多参与攻防演练,多学习大佬的手法，专研一个方向(免杀、代码审计、社工等)，多积累。

上篇给大家推荐了二进制信息安全的学习路线，现在给大家一个web信息安全的学习路线。

一、WEB基础

01.编程语言方面

当时工作室对web安全的同学的编程基础要求更加严格一些，因为并不是想让大家变成脚本小子 C语言必须要学的扎实，指针、链表要理解透彻，跟着二进制同学打一个月的acm队员选拔周赛 完成c语言的学习之后，开始写一个php、html、js等一个留言板的项目，后续随着知识的掌握增加数据库存储等供能 完成留言板的项目之后，学习python语言，并且要求熟练掌握python语言

02.系统、网络方面

要求熟悉windows和linux的各种命令，了解系统下的各种管理的权限，了解网络的分层等基本的知识

03.TOP10漏洞

从基本的漏洞开始学起，比如sql注入、文件上传、xss等，推荐学好知识之后，不看文章的情况下开始刷靶场，如sql-lab、upload-labs、xss-labs，了解不同的漏洞成因并且利用方式之后，就可以进行下一步的晋级

二、WEB进阶

01.信息收集

在web渗透方面,信息收集的越多,就能够挖掘更多的漏洞，在信息收集方面有很多的工具，在信息收集方面要形成一个自己的方法论，并且开发出自己的自动化工具，能够发掘更多的资产

02.内网渗透

内网渗透也有一些不错的靶场，前期可以根据这些内网渗透的靶场进行一个练习，后续学习就要从网络信息、用户信息、信息凭据、权限提升、数据库提升、内网横向、权限维持、痕迹清理等方面进行展开，对linux、Windows等经典组网结构进行了解，剩余的就在实战学习了。

03.代码审计

代码审计是一个比较不错的方向，笔者之前就做过类似的事情，审计java的代码审计。 代码审计个人感觉动态结合会更好 1)动态: 从暴漏的接口往下审计并且动态调试看输出数据的流转情况，查看是否可以触达可利用的函数或者其它危险操作 2)静态: 利用静态分析工具，编写扫描规则，然后根据扫描出来的传播路径，来做一个分析。

04.免杀

笔者认为免杀需要一些逆向和系统的知识，现在免杀有各种奇怪的路线，之前笔者了解比较多的是加壳以及用小众语言、自研C2等、白加黑等各种手法。从检测比较弱的杀软开始做起，慢慢补充自己的免杀技巧。

05.社工

社工是一个伟大的学问，如果搞得好的话会有很多意想不到的结果，往往系统很牢固的时候，人就成为了最不牢固的点。很多师傅喜欢钓鱼、和内部人员聊天窃取一些信息，往往是因为这些方面确实会有意想不到的成果

06.攻防演练

学会基础之后建议多参与攻防演练，跳出学校内去外面看看，开始可能会”坐牢”，不能输出队伍什么东西，但是看其它师傅的手法和操作，记在心里，自己回去多记笔记以及后续的复现，就可以多成长！

写给读者的话

下篇想让我写哪方面内容，可以留言，期待您的留言！

入门信息安全，必须知道这几件事！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小虾安全 小虾安全《Web信息安全-我走过哪些弯路？》