想学web渗透，没有语言基础，没有网络基础，怎么才能入门？ 第1页

首先推荐一下知道创宇的研发技能表，可以查查web安全需要掌握的技能：

其次推荐几本书：

• 黑客攻防技术宝典（Web实战篇）
• 白帽子讲Web安全
• Web安全之机器学习入门
• Web安全之深度学习实战

建议边阅读上面的资料，边配合来做一些实战攻击

去搭个DVWA靶场平台，DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞，然后可以在上面练习一下基本的web安全攻击。

或者去搭个OWASP平台

这些都是简单配置后就可以使用的，包含了很多常见的web漏洞，将各种不同业务环境下的漏洞，抽象出来总结成一个集成靶场，使用起来也很方便，并且每个漏洞页面都可以查看目前的源码。

靶场下面的可测试漏洞包括：暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站脚本攻击(XSS Reflected)、存储型跨站脚本攻击(XSS Stored)

难度分别为：Low、Medium、High、Impossible

在实战的过程中，你肯定会遇到很多不懂的地方，比如sql注入你没有语言基础的话就需要了解下sql语法，类似要学习的地方还有很多。

在完成上面四种难度的全部测试之后，我想这样应该算是入门了。

之后，你练习和阅读了这么多内容，想必也应该会有自己的想法和侧重，接下来就可以去深入了解和关注某一方面的内容了。

最后，附一份渗透测试资源大全：