資料庫靶場

1. 守望先鋒里狂鼠的夾子會對敵人造成傷害嗎

炸彈輪胎

「狂鼠」扔出一個裝有摩托引擎的炸彈輪胎，翻越牆壁和障礙物。「狂鼠」可以遙控並手動引爆這個炸彈輪胎，爆炸後對范圍內的敵人造成巨大傷害。炸彈輪胎在時間耗盡後也會自己爆炸。

輪胎血量: 100

傷害: 600

施法時間: 1s

持續時間: 10s

爆炸范圍: 10m
小技巧
如果炸彈輪胎被摧毀，則不再爆炸
炸彈輪胎可以傷害狂鼠
炸彈輪胎可以爬牆可以跳躍

-------------------
下次這樣的問題，直接網路 努巴尼 社區查資料庫即可。
10米是多少？
去靶場轉轉，下面有標注的。

——靶場 很有用，不要當成新手才用的地圖。

2. sql注入靶場有哪些

有DVWA，pikachu，bwapp等。

結構化查詢語言（Structured Query Language）簡稱SQL，是一種特殊目的的編程語言，是一種資料庫查詢和程序設計語言，用於存取數據以及查詢、更新和管理關系資料庫系統。

結構化查詢語言是高級的非過程化編程語言，允許用戶在高層數據結構上工作。它不要求用戶指定對數據的存放方法，也不需要用戶了解具體的數據存放方式。

所以具有完全不同底層結構的不同資料庫系統, 可以使用相同的結構化查詢語言作為數據輸入與管理的介面。結構化查詢語言語句可以嵌套，這使它具有極大的靈活性和強大的功能。

3. 美國司法部助理副部長布魯斯·奧爾是哪個血統

美國聯邦調查局，英文全稱Federal Bureau of Investigation，英文縮寫FBI。但「FBI」也不僅是局稱的縮寫，還代表著聯邦調查局堅持貫徹的信條——忠誠Fidelity，勇敢Bravery和正直Integrity。

FBI總括美國聯邦調查局是美國司法部的主要調查機構,俗稱為事務所，它的職責是調查具體的犯罪。美國聯邦調查局也被授權提供其他執法機構的合作服務，如指紋識別，實驗室檢查，和警察培訓。根據美國法典第28條533款，授權司法部長「委任官員偵測反美國的罪行」，另外其它聯邦的法令給予FBI權力和職責調查特定的罪行。FBI現有的調查司法權已經超過200種聯邦罪行。十大通緝犯清單從1930年起就已經公布於眾了。

FBI的任務是調查違反聯邦犯罪法，支持法律。保護美國調查來自於外國的情報和恐怖活動，在領導階層和法律執行方面對聯邦，州，當地和國際機構提供幫助，同時在響應公眾需要和忠實於美國憲法前提下履行職責。對內，全權負責維護國家安全和防範有組織的恐怖主義活動；對外，積極協助美國國防部軍事情報局(., Military Intelligence Agency, . Department of Defense) 及美國中央情報局(., Central Intelligence Agency)，防範並打擊一切可能危害到美國國家安全的情報和軍事活動。FBI的官方使命是：通過調查違反聯邦刑法的行為來維護法律，保護美國免受外國間諜和恐怖分子活動的威脅，為聯邦、州、地方或國際機構提供領導和執法幫助，並且能按照公眾的需要且在遵守美國憲法的前提下履行上述職責。在FBI每次調查的情報資料後，遞交適當的美國律師或者美國司法部官員，由他們決定是否批准起訴或其它行動。其中五大影響社會的方面享有最高優先權：反暴行，毒品/有組織犯罪，外國反間諜活動，暴力犯罪，和白領階層犯罪。FBI曾經有不純的歷史，即支持法律，有時候又破壞它。但在大多數美國人的通常印象里，它是打擊罪行最有效的機構。專門特工的人員每年都在增長，現在已經超過11000名成員。大多數專門特工駐在外國，作為大使法律隨員在美國使館工作，FBI自稱為「LEGATS」。
[編輯本段]FBI歷史

在19世紀，政府機構經常僱用（Pinkertons）等私家偵探公司進行破案。直至1908年，美國西部地區的土地非法銷售激怒了當時在任的總統西奧多羅斯福，他授權司法部長查爾斯·約瑟夫·波拿巴（Charles J. Bonaparte）成立一個小型偵探機構，以此來調查這些罪行。1909年，該機構擁有了正式名稱：調查局(The Bureau of Investigation 簡稱BOI)。直到1935年7月1日正式改為聯邦調查局。約（翰）·埃德加·胡佛在1924年5月10日成為調查局局長。當時調查局花費大量精力調查沒有犯罪的政治激進分子(如，社會主義者阿爾貝特·愛因斯坦 )。當富蘭克林·德拉諾·羅斯福在任時，提醒胡佛自由主義不是罪行，而應是現任總統和行政部門的政治活動。

FBI科學檢測罪行實驗室(眾所周知是FBI Crime Lab)，正式成立於1932年11月24日。

二十世紀30年代，聯邦調查局逮捕了一批臭名昭著的綁架，搶劫和殺人犯，例如John Dillinger, "Baby Face" Nelson, Kate "Ma" Barker, Alvin Karpis和George "Machine Gun" Kelly。在打擊三K黨的行動中聯邦調查局也扮演了重要角色。

從二十世紀40年代到70年代，聯邦調查局調查了針對美國的間諜案。二戰期間聯邦調查局曾抓獲8名到美國執行破壞任務的納粹間諜。

聯邦調查局還針對美國的有組織犯罪進行了很多工作，打擊了很多犯罪組織和集團，例如Sam Giancana家族和John Gotti家族。

二十世紀50年代和60年代，聯邦調查局進行了頗有爭議的Cointelpro行動。這次行動的內容是調查和妨礙美國持不同政見的組織的行動。這些組織包括軍事組織，非暴力組織和民權組織。胡佛關於馬丁·路德·金的調查也是臭名昭彰的 – FBI沒有找到任何犯罪證據，並試圖使用其私人性生活錄音帶進行要挾。《華盛頓郵報》聲稱聯邦調查局還至少給馬丁·路德·金寄過一封慫恿其自殺的匿名信。

1950年，聯邦調查局非法拘留想要回國的錢學森，並派遣特務闖入錢學森研究室及住宅進行搗亂。

在1990年代，顯示FBI科學檢測罪犯實驗室經常犯低級錯誤。在一些本來證據顯示嫌疑犯無罪的案件中，技術人員卻報告證明他們有罪。當這種錯誤被發現時，許多這樣的案件會重審。
[編輯本段]FBI構成

聯邦調查局局長由總統任命，並經參議院批准，任期10年，第一任局長為胡佛，現任局長羅伯特·米勒。該局有工作人員2萬多名，其中8600多人是外勤人員。每年的預算為23億美元。
[編輯本段]FBI任務

FBI的任務是調查違反聯邦犯罪法，支持法律。保護美國調查來自於外國的情報和恐怖活動，在領導階層和法律執行方面對聯邦、州、當地和國際機構提供幫助，同時在響應公眾需要和忠實於美國憲法前提下履行職責。最初，只有很少罪行在該調查局的管轄范圍之內。如土地詐騙、全國性銀行詐騙、反壟斷犯罪以及跨州界犯罪屬於該調查局的調查范圍。但在接下來的數十年中，新頒布的法律擴大了聯邦政府調查全國性犯罪的范圍。如今FBI每次調查的情報資料後，遞交適當的美國律師或者美國司法部官員，由他們決定是否批准起訴或其它行動。其中在反暴行、毒品/組織犯罪、外國反間諜活動、暴力犯罪和白領階層犯罪等方面享有最高優先權。
[編輯本段]FBI下設機構

美國聯邦調查局總部位於華盛頓特區的J. Edgar Hoover大廈。這棟大廈於1974年投入使用，外觀酷似大型堡壘。
J. Edgar Hoover 大廈

總部下設10個由助理局長擔任領導的職能部門，分管鑒定、訓練、刑事調查、技術服務等工作，並在全國59個城市設立外勤辦事處及從屬於它們的400多個「地方分局」，還有分布在世界22個國家的駐外機構，執行總部分配的任務。設有「罪犯司法信息服務部」、刑事犯罪 「科學實驗室」、「中央指紋檔案館」（其中存儲著近4，700萬個對象的指紋，乃世界同類資料庫之最）、「尖端人質拯救小組」以及專門培訓高級特工的國家學院。
美國聯邦調查局國家學院坐落在弗吉尼亞州匡蒂科美國海軍陸戰隊基地內，這所始創於1972年的高級特工和間諜培訓機構被385畝的森林完全包圍，在空中都難以窺得全景。據FBI官方網站介紹，這樣的環境有利於「安全、保密」。引人注目的是，美國毒品管制局的訓練學院也坐落在附近。

美國聯邦調查局國家學院主體包括3幢宿舍樓、1座餐廳、1座教學樓、1個法醫研究與訓練中心、1個有1000 個座位的禮堂、1座小禮拜堂、1個大健身房、1條室外跑道和1家裝備齊全的汽修廠。除此之外，國家學院里還有一座模擬城市，專供FBI和毒品管制局訓練學院的學員實戰模擬用。模擬城市附近還有1個室內靶場，8個室外靶場，4個飛碟靶場和1個200米步槍沖鋒槍靶場。
[編輯本段]FBI主要功績

20世紀30年代，聯邦調查局逮捕了一批臭名昭著的綁架、搶劫和殺人犯。在打擊三K黨的行動中聯邦調查局也扮演了重要角色。

從20世紀40年代到70年代，聯邦調查局調查了針對美國的間諜案。二戰期間聯邦調查局曾抓獲8名到美國執行破壞任務的納粹間諜。

聯邦調查局還針對美國的有組織犯罪進行了很多工作，打擊了很多犯罪組織和集團，例如Sam Giancana家族和John Gotti家族。
[編輯本段]FBI爭議行動

Cointelpro行動：20世紀50年代和60年代，聯邦調查局進行了頗有爭議的Cointelpro行動。這次行動的內容是調查和妨礙美國持不同政見的組織的行動。這些組織包括軍事組織，非暴力組織和民權組織。胡佛關於馬丁·路德·金的調查也是臭名昭彰的，FBI沒有找到任何犯罪證據，並試圖使用其私人性生活錄音帶進行要挾。《華盛頓郵報》聲稱聯邦調查局還至少給馬丁·路德·金寄過一封慫恿其自殺的匿名信。在20世紀90年代，FBI科學檢測罪犯實驗室經常犯低級錯誤。在一些本來證據顯示嫌疑犯無罪的案件中，技術人員卻報告證明他們有罪。當這種錯誤被發現時，許多這樣的案件會重審。

驅逐卓別林：卓別林因演出針砭時弊的電影而成為聯邦調查局的調查對象。1922年，聯邦調查局特工混進卓別林的電影廠做卧底，監視他的一言一行。時間不長，便有卧底向局長報告，說那裡都是「高談闊論的布爾什維克」，還有大量「電影界激進分子」，討論的主題是「為工人運動和革命作教育宣傳的電影是何等重要」。當時擔任聯邦調查局局長的是伯爾恩斯，接到報告後，他立即讓手下收集整理有關電影界思潮的檔案，羅列電影圈內的激進活動，特別是「如何通過電影作共產主義宣傳」，企圖說明由於「電影宣傳共產主義思想」，會對民眾造成思想影響，必須予以密切監視。

監視愛因斯坦：聯邦調查局監視愛因斯坦是從二戰後開始的。對於他贊同共產主義理想，支持民權運動、反戰團體和一些社會主義的主張，特工們感到驚恐不安，他們擔心這樣的知名人物批評美國的政策，會在社會上產生負面影響。聯邦調查局為了找到把愛因斯坦驅逐出境的罪證，建立了關於愛因斯坦的詳細的個人文件。文件長達1424頁，上面記錄著聯邦調查局對愛因斯坦所作調查的各項內容。
[編輯本段]FBI丑聞事件


FBI局長

近幾年來，聯邦調查局丑聞迭出，這顯示其內部系統仍存在大量問題。外界給予了猛烈的抨擊。

2001年7月17日，聯邦調查局一些不願透露姓名的官員向媒體披露，聯邦調查局在過去的11至12年間已丟失了近200台筆記本電腦和約450件武器。經聯邦調查局認定，失蹤的筆記本電腦中肯定有一台儲存了機密信息，另外還有三台可能也儲存了機密。竊賊偷去了失蹤電腦中的13台，另外一些筆記本電腦則很可能是在從一個部門傳遞到另一個部門的過程中丟失的。聯邦調查局丟失的近450件武器中約有184件武器屬於失竊。失蹤武器中大約有13件落入犯罪分子之手，犯罪分子在搶劫時使用了這些武器。盡管丟失的絕大部分是隨身佩帶的小型武器，但其中也不乏像沖鋒槍這樣的大傢伙。

除失竊外，聯邦調查局與其他執法部門的聯合訓練活動中顯然還丟失了一部分槍支。聯邦調查局的內部人員也和武器丟失有關聯。有關方面已確認，丟失的武器中有66件都和一位退休特工有關，另外還有4件失蹤武器與一些被辭退或是亡的特工有關。在FBI的"失誤"中，引人注目的還有俄城爆炸案那次。當時聯邦調查局向俄城爆炸案主犯麥克維的辯護律師提供材料時，居然遺漏了千頁重要文件，結果造成麥克維的刑被迫從2001年5月16日延遲到6月11日執行。

此外，聯邦調查局資深探員漢森竟是潛伏了15年的俄羅斯雙重間諜，輿論嘩然，FBI大丟臉面！對華裔科學家李文和案件的處理不當同樣也使FBI蒙羞！
[編輯本段]FBI與華關系

FBI北京辦事處於2002年10月22日成立，其辦公地點設在美國駐華使館，作為FBI第45個海外專員辦事處，北京辦事處有2名特工，負責FBI在中國的事務。在北京辦事處成立前，通過香港辦事處與中國公安部溝通信息。這種狀況從1966年開始，到2002年正式結束。

FBI十大通緝罪犯「十大通緝犯名單」是總統胡佛於1950年3月14日創建的一項革新。旨在通過公布一些重大逃犯的照片及年齡、身高、體重、體型、發色、眼睛、膚色、性別、種族、職業、化名等簡單情況，讓公眾協助將其緝拿歸案。到2002年為止，共有458名逃犯出現在這份名單上，實際已抓獲429名。現在仍然可以在網上搜到更新中的通緝犯名單。 上「十大通緝犯」名單並非
本·拉登

「易事」，要經過專門機構候選、初選等步驟，最後由聯邦調查局的副局長親自敲定。能夠進入名單的逃犯都有較長的嚴重犯罪記錄，或被認為對社會構成了嚴重威脅，沒有等級先後之分。

FBI「十大通緝犯」名單：

「恐怖大亨」本·拉登（懸賞5000萬美元）

「恐怖大亨」本·拉登：本·拉登是「基地」組織的頭目，涉嫌於1998年8月7日襲擊美國駐坦尚尼亞和肯亞使館；並涉嫌製造了「9·11」恐怖襲擊。


大毒梟迭戈

大毒梟迭戈·蒙托亞（懸賞500萬美元） （2007年9月已落網）

「大毒品販子」迭戈·萊恩·蒙托亞·桑切斯：桑切斯因向美國走私數噸可卡因而被通緝。據稱，桑切斯是哥倫比亞最大的販毒集團北山谷販毒集團的頭目之一。

「黑幫老大」詹姆斯·J·伯格（懸賞100萬美元）

「黑幫老大」詹姆斯·J·伯格：伯格是美國馬薩諸塞州首府波士頓一個犯罪組織的頭目，該組織涉嫌於20世紀70年代至80年代中期在該地區製造了一系列謀殺案，伯格因此遭到通緝。據稱，伯格脾氣火暴，身上隨時帶著刀。可能帶有武器，極度危險。

「百萬劫犯」維克托·美因茨·戈熱那（懸賞100萬美元）

「百萬劫犯」維克托·美因茨·戈熱那：曾做過機械師和保安的戈熱那涉嫌於1983年在美國康涅狄格州持槍搶劫了一家安保公司，成功捲走700萬美元巨款。搶劫過程中，戈熱那將兩名保安扣為人質。

「殺人焚屍惡魔」喬治·阿爾貝托·洛佩茲－奧茲科（懸賞10萬美元）

「殺人焚屍惡魔」喬治·阿爾貝托·洛佩茲－奧茲科：因在愛達荷州埃爾莫爾縣槍殺3人而被通緝。2002年8月11日，一個女人和她兩個孩子燒焦的屍體在一輛被燒毀的車內被發現，每個受害者的頭部和胸部都受到槍擊。

「殺妻惡魔」羅伯特·威廉·費什爾（懸賞10萬美元）

「殺妻惡魔」羅伯特·威廉·費什爾：費什爾涉嫌於2001年殺害妻子及兩名孩子，並一把火燒了他們位於亞利桑那州史考司代爾的房子。

「越獄高手」格倫·斯圖爾特·戈德溫（懸賞10萬美元）

「越獄高手」格倫·斯圖爾特·戈德溫：戈德溫最引人注目的地方就是他曾兩次成功越獄。1987年，戈德溫因謀殺罪即將被執行刑時，成功從加利福尼亞州一座州立監獄脫逃。當年晚些時候，戈德溫就因販毒在墨西哥落網，定罪後被送往墨西哥中西部城市瓜達拉哈拉服刑。1991年4月，戈德溫涉嫌殺害一名獄友，5個月後再次越獄出逃，至今逍遙法外。

亞歷克西斯·佛羅雷斯（懸賞10萬美元）

喬·薩瓦里諾·斯基拉奇（懸賞10萬美元）

埃米格迪奧·普雷西亞多（懸賞10萬美元）

「十大通緝犯」一般固定為十人，殺一個，就會再補一個，但偶爾也會超員——1968年謀殺馬丁·路德·金的厄爾·雷(1968年落網）是首位「第十一名通緝犯」。
[編輯本段]FBI部分領導

美國聯邦調查局(FBI)的成員名單是不會完全向外公布的. FBI北京辦事處成立於2002年10月22日,其辦公地點就設在美國駐華使館. FBI在香港也有辦事處. FBI副局長 托馬斯．富恩斯特 FBI北京辦事處首任主任 劉善謙 第二任主任 劉威廉 兩人都是美籍華人 現任主任 Steven Hendershot(斯蒂文·亨德肖特) 美國人。
[編輯本段]FBI一百周年

從幾十名偵探發展到一支三萬餘人的隊伍，美國聯邦調查局（FBI）自1908年7月26日創建至今，已走過百年歷程。FBI之所以提升知識界傳奇的水平，部分要歸功於像埃德加·胡佛這樣的傳奇人物，他在二戰和騷亂迭起的民權運動期間領導FBI近50年之久；而諸如《X檔案》《沉默的羔羊》等好萊塢大片的渲染也功不可沒。

4. 網路安全去應該去哪裡學習呢。

只要想學習哪裡學習都是有效果的。但需要結合自身的一些特點來調整學習方向，這樣學習起來會事半功倍，以下推薦3種學習線路，適用於不同的學習人群；

方法1：先學習編程，然後學習Web滲透及工具使用等

適用人群：有一定的代碼基礎的小夥伴

（1）基礎部分

基礎部分需要學習以下內容：

（1.1）計算機網路 ：

重點學習OSI、TCP/IP模型，網路協議，網路設備工作原理等內容，其他內容快速通讀；

【推薦書籍】《網路是怎樣連接的_戶根勤》一書，簡明扼要，淺顯易懂，初學者的福音；如果覺得不夠專業，可以學習圖靈設計叢書的《HTTP權威指南》；

（1.2）linux系統及命令 ：

由於目前市面上的Web伺服器7成都是運行在Linux系統之上，如果要學習滲透Web系統，最起碼還是要對linux系統非常熟悉，常見的操作命令需要學會；

學習建議：學習常見的10%左右的命令適用於90%的工作場景，和office軟體一樣，掌握最常用的10%的功能，基本日常使用沒什麼問題，遇到不會的，再去找相關資料；常見的linux命令也就50-60個，很多小白囫圇吞棗什麼命令都學，這樣其實根本記不住。

【推薦書籍】Linux Basics for Hackers；

（1.3）Web框架 ：

熟悉web框架的內容，前端HTML，JS等腳本語言了解即可，後端php語言重點學習，切記不要按照開發的思路去學習語言，php最低要求會讀懂代碼即可，當然會寫最好，但不是開發，但不是開發，但不是開發，重要的事情說三遍；

資料庫：

需要學習SQL語法，利用常見的資料庫MySQL學習對應的資料庫語法，也是一樣，SQL的一些些高級語法可以了解，如果沒有時間完全不學也不影響後續學習，畢竟大家不是做資料庫分析師，不需要學太深；

（2）Web安全

（2.1）Web滲透

掌握OWASP排名靠前的10餘種常見的Web漏洞的原理、利用、防禦等知識點，然後配以一定的靶場練習即可；有的小白可能會問，去哪裡找資料，建議可以直接買一本較為權威的書籍，配合一些網上的免費視頻系統學習，然後利用開源的靶場輔助練習即可；

【推薦書籍】白帽子講Web安全（阿里白帽子黑客大神道哥作品）

【推薦靶場】常見的靶場都可以上github平台搜索，推薦以下靶場DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu等，有些是綜合靶場，有些是專門針對某款漏洞的靶場；

（2.2）工具學習

Web滲透階段還是需要掌握一些必要的工具，工具的學習b站上的視頻比較多，挑選一些講解得不錯的視頻看看，不要一個工具看很多視頻，大多數視頻是重復的，且很浪費時間；

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、mesa、airspoof等，以上工具的練習完全可以利用上面的開源靶場去練習，足夠了；

練習差不多了，可以去SRC平台滲透真實的站點，看看是否有突破，如果涉及到需要繞過WAF的，需要針對繞WAF專門去學習，姿勢也不是特別多，系統性學習學習，然後多總結經驗，更上一層樓；

（2.2）自動化滲透

自動化滲透需要掌握一門語言，且需要熟練運用，可以是任何一門自己已經掌握得很熟悉的語言，都可以，如果沒有一門掌握很好的，那我推薦學習python，最主要原因是學起來簡單，模塊也比較多，寫一些腳本和工具非常方便；

雖說不懂自動化滲透不影響入門和就業，但是會影響職業的發展，學習python不需要掌握很多不需要的模塊，也不需要開發成千上萬行的代碼，僅利用它編寫一些工具和腳本，少則10幾行代碼，多則1-200行代碼，一般代碼量相對開發人員已經少得不能再少了，例如一個精簡的域名爬蟲代碼核心代碼就1-20行而已；

幾天時間學習一下python的語法，有代碼基礎的，最快可能一天就可以學習完python的語法，因為語言都是相通的，但是學習語言最快的就是寫代碼，別無他法；接下來可以開始嘗試寫一些常見的工具，如爬蟲、埠探測、數據包核心內容提取、內網活躍主機掃描等，此類代碼網上一搜一大把；然後再寫一些POC和EXP腳本，以靶場為練習即可；有的小夥伴可能又要問了，什麼是POC和EXP，自己網路去，養成動手的好習慣啦；

（2.3）代碼審計

此處內容要求代碼能力比較高，因此如果代碼能力較弱，可以先跳過此部分的學習，不影響滲透道路上的學習和發展。

但是如果希望在Web滲透上需要走得再遠一些，需要精通一門後台開發語言，推薦php，因為後台採用php開發的網站占據最大，當然你還精通python、asp、java等語言，那恭喜你，你已經具備很好的基礎了；

代碼審計顧名思義，審計別人網站或者系統的源代碼，通過審計源代碼或者代碼環境的方式去審計系統是否存在漏洞（屬於白盒測試范疇）

那具體要怎麼學習呢？學習的具體內容按照順序列舉如下 ：

掌握php一些危險函數和安全配置；

熟悉代碼審計的流程和方法；

掌握1-2個代碼審計工具，如seay等；

掌握常見的功能審計法；（推薦審計一下AuditDemo，讓你產生自信）

常見CMS框架審計（難度大）； 代碼審計有一本國外的書籍《代碼審計：企業級Web代碼安全架構》，當然有空的時候可以去翻翻，建議還是在b站上找一套系統介紹的課程去學習；github上找到AuditDemo，下載源碼，搭建在本地虛擬機，然後利用工具和審計方法，審計AuditDemo中存在的10個漏洞，難度分布符合正態分布，可以挑戰一下；

至於CMS框架審計，可以去一些CMS官方網站，下載一些歷史存在漏洞的版本去審計，框架的學習利用官方網站的使用手冊即可，如ThinkPHP3.2版本是存在一些漏洞，可以嘗試讀懂代碼；但是切記不要一上來就看代碼，因為CMS框架的代碼量比較大，如果不系統先學習框架，基本屬於看不懂狀態；學習框架後能夠具備寫簡單的POC，按照代碼審計方法結合工具一起審計框架；其實也沒沒想像中的那麼難，如果你是開發人員轉行的，恭喜你，你已經具備代碼審計的先天性優勢。

可能有人會問：「我代碼很差，不學習代碼審計行不行？」其實代碼審計不是學習網路安全的必要條件，能夠掌握最好，掌握不了也不影響後續的學習和就業，但你需要選擇一個階段，練習得更專業精通一些，如web滲透或者內網滲透，再或者是自動化滲透；

（3）內網安全

恭喜你，如果學到這里，你基本可以從事一份網路安全相關的工作，比如滲透測試、Web滲透、安全服務、安全分析等崗位；

如果想就業面更寬一些，技術競爭更強一些，需要再學習內網滲透相關知識；

內網的知識難度稍微偏大一些，這個和目前市面上的學習資料還有靶場有一定的關系；內網主要學習的內容主要有：內網信息收集、域滲透、代理和轉發技術、應用和系統提權、工具學習、免殺技術、APT等等；

可以購買《內網安全攻防：滲透測試實戰指南》，這本書寫得還不錯，國內為數不多講內網的書籍，以書籍目錄為主線，然後配合工具和靶場去練習即可；

那去哪裡可以下載到內網靶場？如果你能力夠強，電腦配置高，可以自己利用虛擬機搭建內網環境，一般需要3台以上的虛擬機；你也可以到國外找一些內網靶場使用，有一些需要收費的靶場還可以；

（4）滲透拓展

滲透拓展部分，和具體工作崗位聯系也比較緊密，盡量要求掌握，主要有日誌分析、安全加固、應急響應、等保測評等內容；其中重點掌握前三部分，這塊的資料網路上也不多，也沒有多少成型的書籍資料，可通過行業相關的技術群或者行業分享的資料去學習即可，能學到這一步，基本上已經算入門成功，學習日誌分析、安全加固、應急響應三部分的知識也相對較為容易。

方法2：先學習Web滲透及工具，然後再學習編程

適用人群：代碼能力很弱，或者根本沒有什麼代碼能力，其他基礎也相對較差的小夥伴

基礎需要打好，再學習Web滲透比如linux系統、計算機網路、一點點的Web框架、資料庫還是需要提前掌握；

像php語言、自動化滲透和代碼審計部分內容，可以放在最後，當學習完畢前面知識後，也相當入門後，再來學習語言，相對會容易一些；

【優先推薦】方法2，對於小白來說，代碼基礎通常較弱，很多很多小白會倒在前期學習語言上，所以推薦方法2的學習，先學習web滲透和工具，也比較有意思，容易保持一個高漲的學習動力和熱情，具體學習內容我就不說了，請小夥伴們參照方法1即可。

方法3：選擇一些適合自己的課程學習

適用人群：需要體系化學習、增強實戰能力的小夥伴

具體根據自身條件來講，如果你自學能力較差，那建議選擇課程學習，網上各大平台等都有很多各式各樣的課程，是可以更快幫助你迅速入門的，然後再根據自己自身所欠缺的方面，不斷去完善和學習，最後達到你所要的優秀水平。

學習書籍推薦如下：

【基礎階段】

Linux Basics for Hackers(中文翻譯稿)

Wireshark網路分析(完整掃描版)

精通正則表達式（中文第3版）

圖解HTTP 彩色版

[密碼學介紹].楊新.中文第二版

網路是怎樣連接的_戶根勤

[PHP與MySQL程序設計(第4版)].W.Jason.Gilmore

【web滲透階段】

web安全攻防滲透測試實戰指南

白帽子講Web安全

Web安全深度

【自動化滲透階段】

Python編程快速上手-讓繁瑣工作自動化

【代碼審計階段】

代碼審計：企業級Web代碼安全架構

【內網滲透階段】

內網安全攻防：滲透測試實戰指南

社會工程防範釣魚欺詐

5. phstudy搭建靶場練習什麼比較好

練習sql注入。phstudy靶場搭建為了更好地學習web網路安全知識，可以通過搭建靶場進行練習sql注入、xss等常見漏洞。搭建phstudy靶場練習要具備資料庫和運行環境。而這些可以很有效的鍛煉sql的注入，檢查資料庫的練習。

6. 網路安全怎麼學

你可以把網路安全理解成電商行業、教育行業等其他行業一樣，每個行業都有自己的軟體研發，網路安全作為一個行業也不例外，不同的是這個行業的研發就是開發與網路安全業務相關的軟體。

既然如此，那其他行業通用的崗位在安全行業也是存在的，前端、後端、大數據分析等等，也就是屬於上面的第一個分類，與安全業務關系不大的類型。這里我們重點關注下第二種，與安全業務緊密相關的研發崗位。

這個分類下面又可以分為兩個子類型：

• 做安全產品開發，做防

• 做安全工具開發，做攻

安全行業要研發的產品，主要（但不限於）有下面這些：

• 防火牆、IDS、IPS

• WAF（Web網站應用防火牆）

• 資料庫網關

• NTA（網路流量分析）

• SIEM（安全事件分析中心、態勢感知）

• 大數據安全分析

• EDR（終端設備上的安全軟體）

• DLP（數據泄漏防護）

• 殺毒軟體

• 安全檢測沙箱

總結一下，安全研發的產品大部分都是用於檢測發現、抵禦安全攻擊用的，涉及終端側（PC電腦、手機、網路設備等）、網路側。

開發這些產品用到的技術主要以C/C++、Java、Python三大技術棧為主，也有少部分的GoLang、Rust。

安全研發崗位，相對其他兩個方向，對網路安全技術的要求要低一些（只是相對，部分產品的研發對安全技能要求並不低），甚至我見過不少公司的研發對安全一無所知。