短短几年时间，网络安全工程师不仅成为了正规军，还直接跃升为国家战略型资源，成为众多企业“一将难求”的稀缺资源。加之安全岗薪资高、好入门，不少0基础转行的朋友想加入网络安全行业。但是，在知乎搜索“网络安全”时，十个有八个都是这样的话题：

对于网络安全的学习，很多人不清楚到底需要学哪些内容，学到什么程度，导致在基础上花费了太多的时间；很多同学，买了HTML，PHP，数据库，计算机网络等书籍，每本还很厚，很多写得也很深，却发现越学越没自信，别人学个PHP或者数据库就可以找到工作，而网络安全要学这么多，越来越怀疑自己到底是不是选错了方向；

其实，学习网络安全，最有效的方法就是实战。对于渗透测试方向的技术，其实很大程度上学习的就是“黑客”技术，通过学习怎么进攻和入侵，才能够更清楚系统和应用怎么去防御；而这块也恰恰是网络安全的核心，如果光有理论，实战经验少，也是较难就业的；在平时学习中，除了可以搭建一些开源的靶场用于练习，最好还是要有真实漏洞组成的靶场用于学习，当然也可以去SRC平台去渗透测试一些真实网站（一定要获得授权才可以渗透真实网站）。

0基础小白入门必刷的几个靶场

1.DVWA

可以说是入坑必刷靶机了，没有之一。很多高校的入坑课的第一节都是搭建 DVWA，其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具，帮助 Web 开发人员更好地了解保护 Web 应用程序的过程，并帮助教师/学生在课堂环境中教授/学习 Web 应用程序安全性。

2.Pikachu

一个好玩的 Web 安全漏洞测试平台，跟 DVWA 类似，不过看上去比前者清晰（中文的），有简单的漏洞页面，不那么单调。

3.Wargames

特色的闯关模式让你情不自禁的学习，知识涵盖 Linux 命令、web 安全、密码学、系统安全、逆向、代码审计等等。

4.XSS弹窗专项练习

一个 XSS 的弹窗挑战，一共 13 关，让你一个点一个点的理解 XSS。页面上展现了源码，方便直接，更易理解其原理。

5.SQL注入专项练习

一个针对 SQL 注入的专项训练集，共 75 个挑战。分为基本 SQL 注入、高级 SQL 注入、SQL 堆叠注入、SQL 挑战四个部分。

6.Hack The Box

在里面的有很多靶机（但是会员才能玩历史靶机），各种难度层，从小白到大佬，都有适合你的靶机，并且经常更新，想要提升自我，不断挑战的同学可以尝试。

7.BUUCTF

适合喜欢 CTF 方向的同学，整合了各大 CTF 赛事题目，没事就多刷题，刷刷刷！

大家在选择网络安全培训机构的时候，一定要关注是否有实战靶场，这样更容易选到靠谱的机构。