土木人 “提桶跑路”零基础转行网络安全，成功实现月入过万

江湖盛传一句话：生化环材四大天坑，机械土木左右护法； 土木工程，提桶跑路； 劝人学法，千刀万剐。

在各大社交平台以及社群里面，“提桶跑路”已经成为土木人的口头禅。每逢高考季，更是有一大批前辈们苦口婆心，生怕涉世未深的年轻人“误入其中”，“劝退一个算一个”。

作为一名97年的土木人，我得说说我自己，在土木大专毕业后并没有选择相关的行业。一是我觉得干土木不赚钱，二是干土木很辛苦。在我们这个行业，如果你是一本及以上大学毕业的，那你的工资肯定很高，如果夏天有高温补贴的话，刚毕业出来就能月薪过万，不过土木依旧逃不掉上工地干活的痛苦，也就是累。如果是像我这种大专毕业的学生去工地上班，通常试用期半年甚至以上，每个月能有3000的工资就已经是高薪了，更不用说上万了。

于是，我在大学毕业之后就选择了做销售的工作，但是随着年龄越来越大，再加上20年的不可抗因素，我越发感到力不从心了，一是因为销售行业入行门槛非常低，只要愿意干就能干，而且新人的能力都非常强，竞争异常激烈；二是作为一名销售，每天和不同的人打交道，基本没有假期，从早忙到晚，有时候连吃饭的时间都没有；三是因为20年的武汉天翻地覆，生活发生了重大改变，直到现在我们都还在被它困扰着。

其实早就开始动了转行的念头，直到20年初，决定转行。

不过和很多人一样，做出转行的决定之前，我也迷茫了很久。明确自己的职业规划说起来简单，但是我却毫无头绪。因为我除了销售，什么都没有做过，不知道自己喜欢的是什么，不知道自己擅长的是什么。后来，我姐姐知道我的状况之后，劝我转行IT。在我姐姐跟我说转行IT这个行业之前，我根本没有往这方面想过，毕竟我从来没有接触过计算机。除了会打游戏之外，而且我对程序员非常排斥，不想我今后也变成那种秃头油腻的格子衫IT男。然后我姐姐一副烂泥扶不上墙的表情跟我说：我让你转行IT是有原因的，你姐夫就是搞IT的，你看他像你想像中那样秃头油腻吗？你根本不了解这个行业，就凭着固有的印象做出了判断…你知道你姐夫现在有多吃香嘛？

然后我姐姐一个电话打给我姐夫，让我姐夫给我解释他们这个IT到底是什么。我姐夫跟我说，是网络安全方向，网络安全又分为逆向和渗透测试。我现在是逆向，工资会高一些，但是对于零基础来说会很难；渗透测试工资会相对低一些，但是好入门，跟其他行业比薪资也很高了，你可以学渗透测试方向，学好了之后也可以找我教你逆向。

经过这一来二去，我对渗透测试倒产生了一点兴趣了。然后，我马上在网上搜渗透测试相关的内容，比如：“渗透测试是什么？”“渗透测试薪资待遇？”“渗透测试怎么学习？”“转行渗透测试要多久？”“渗透测试具体的工作是什么？”“渗透测试好不好找工作？”等等各种各样的问题，不过网上说什么的都有，说渗透测试学的东西多且杂，想要精通并不难、说网络安全不赚钱所以比开发工资低等等…

我姐夫又给我打了个电话，我问他到底什么是渗透测试，他说通俗的可以理解成黑客。提到这个，我的兴趣马上就被勾起来了，毕竟电影里穿着黑衣、戴着黑墨镜、仅仅是敲几下键盘就能控制电路、打印机等等非常酷。深思熟虑之后，我决定尝试一下！一来，我姐夫已经从事这个行业了，发展的还不错，今后在这个行业里面我也有人照料；二来，确实是有点“赌”的成分在里面，因为我现在只是浅显的了解了一下这个行业，不知道自己真正做起来之后能不能喜欢；三来是家里人都对我比较支持，给了我很大的信心和支持。

我的学习计划

一、基础阶段

★中华人民共和国网络安全法 （包含18个知识点）
★Linux操作系统 （包含16个知识点）
★计算机网络 （包含12个知识点）
★SHELL （包含14个知识点）
★HTML/CSS （包含44个知识点）
★JavaScript （包含41个知识点）
★PHP入门 （包含12个知识点）
★MySQL数据库 （包含30个知识点）
★Python （包含18个知识点）

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

二、渗透阶段

★SQL注入的渗透与防御（包含36个知识点）
★XSS相关渗透与防御（包含12个知识点）
★上传验证渗透与防御（包含16个知识点）
★|文件包含渗透与防御（包含12个知识点）
★CSRF渗透与防御（包含7个知识点）
★SSRF渗透与防御（包含6个知识点）
★XXE渗透与防御（包含5个知识点）
★远程代码执行渗透与防御（包含7个知识点）

掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

三、安全管理（提升）

★渗透报告编写（包含21个知识点）
★等级保护2.0（包含50个知识点）
★应急响应（包含5个知识点）
★代码审计（包含8个知识点）
★风险评估（包含11个知识点）
★安全巡检（包含12个知识点）
★数据安全（包含25个知识点）

主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。

这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位，这一阶段可学可不学。

四、提升阶段（提升）

★密码学（包含34个知识点）
★JavaSE入门（包含92个知识点）
★C语言（包含140个知识点）
★C++语言（包含181个知识点）
★Windows逆向（包含46个知识点）
★CTF夺旗赛（包含36个知识点）
★Android逆向（包含40个知识点）

主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。

主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。

这个路线图已经详细到每周要学什么内容，学到什么程度，可以说我整理的这个Web安全路线图对新人是非常友好的，除此之外，我还给团队小伙伴整理了相对应的学习资料，如果你需要的话，我也可以分享出来，需要的可以点击 CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费领取