kairos-ix/zero-to-appsec

GitHub: kairos-ix/zero-to-appsec

一份免费的、自定节奏的应用安全与云安全职业入门路线图,通过五阶段实战项目和公开学习体系帮助零基础学习者系统性进入安全领域。

Stars: 0 | Forks: 0

# 从零到 AppSec 这是一份实用、不含废话的学习路线图,指导你如何利用免费和低成本的资源在应用安全(AppSec)或云安全领域建立职业生涯。它分为五个阶段,每个阶段都包含实际要构建的项目,并从第一天起就培养了“公开学习”的习惯。 你不需要拥有学位,也不需要参加培训班即可遵循此路线图。你需要的是坚持:每天坚持出现,完成工作,并在雇主和招聘人员能够切实看到的地方记录你的进度。 ## 为什么会有这份路线图 大多数在线学习安全的人都是默默地在私下进行,然后纳闷为什么没人雇佣他们。如果你在网上没有可见的公开形象,招聘人员就找不到你。如果你从未发布过漏洞分析报告,Bug Bounty 项目就不会知道你的名字。这份路线图将“公开学习”视为一项核心技能,而不是事后才想起来的补充,因为在这个领域,可见度往往和能力一样重要。 不要跳过阶段 0。大多数学习者直接跳到损坏的实验环境中,或者在他们从未正确配置的平台上进行学习,最终浪费数周时间去修复那些完全可以避免的问题。花两周时间把你的环境配置妥当,将为你节省以后两个月的挫败感。 ## 目录 - [阶段 0 —— 理清头绪](#phase-0--get-your-house-in-order) - [阶段 1 —— 构建真实基础](#phase-1--build-real-foundations) - [阶段 2 —— SOC 和 Blue Team](#phase-2--soc-and-blue-team) - [阶段 3 —— 应用安全](#phase-3--application-security) - [阶段 4 —— 云应用安全和 DevSecOps](#phase-4--cloud-appsec-and-devsecops) - [公开学习](#learn-in-public) - [简历与作品集](#resume-and-portfolio) - [职业路径与薪资现状](#career-path-and-salary-reality) - [值得关注的人](#people-worth-following) - [免责声明](#disclaimer) ## 阶段 0 —— 理清头绪 **预计时长:** 1–2 周  |  **成本:** 免费  |  **目标:** 创建好所有账号,搭建好实验环境,此阶段暂不进行实际学习 在做任何其他事情之前,请先阅读以下两个资源: - **Troy Hunt — “So You Want to Work in Security”** 能在你投入大量时间之前,重置你对这个领域不切实际的期望。 → [troyhunt.com](https://www.troyhunt.com/careers-in-security-ethical-hacking-and-advice-on-where-to-get-started/) - **roadmap.sh — Cyber Security Path** 为你提供了一张展示整个领域如何契合的视觉地图。读一遍,然后继续下一步。 → [roadmap.sh/cyber-security](https://roadmap.sh/cyber-security) **设置清单:** - [ ] 已创建 GitHub 账号,包含真实用户名、头像和个人主页 README - [ ] 已完善 LinkedIn 个人资料,包含恰当的头衔和关于部分 - [ ] 已创建 X (Twitter) 账号,设置了个人简介并关注了相关的安全账号 - [ ] 已创建用于写作的 Medium 或 Hashnode 账号 - [ ] 已创建 [TryHackMe](https://tryhackme.com) 账号 - [ ] 已创建 [PortSwigger Web Security Academy](https://portswigger.net/web-security) 账号 - [ ] 已创建 [HackerOne](https://hackerone.com) 账号 - [ ] 已创建 [LetsDefend](https://letsdefend.io) 账号(目前免费层已足够) - [ ] 已安装 [VirtualBox](https://www.virtualbox.org) - [ ] 已设置并运行 [Kali Linux](https://www.kali.org/get-kali/) 虚拟机(4GB RAM,50GB 存储) - [ ] 已安装 [Obsidian](https://obsidian.md) 并将其配置为你的个人知识库 ## 阶段 1 —— 构建真实基础 **预计时长:** 2–4 个月  |  **成本:** TryHackMe Premium,大约每月 ₹900  |  **目标:** 扎实的技术基本功和三个已完成的项目 这是大多数人匆匆掠过的阶段,因为他们已经懂一些编程了。不要犯这个错误。一个能通过网络测验的人,与一个能在数据包捕获中逐步追踪攻击的人,两者之间的差距完全是在这个阶段拉开的,任何称职的面试官都能在交谈的前五分钟内发现这种差距。 ### 学习资源 | 资源 | 成本 | 链接 | |---|---|---| | Professor Messer — CompTIA Network+ (N10-009) | 免费 | [professormesser.com](https://www.professormesser.com/network-plus/n10-009/n10-009-video/n10-009-training-course/) | | The Linux Command Line,作者 William Shotts | 免费 | [linuxcommand.org](https://linuxcommand.org/tlcl.php) | | OverTheWire: Bandit | 免费 | [overthewire.org](https://overthewire.org/wargames/bandit/) | | TryHackMe — Pre-Security Path | Premium | [tryhackme.com](https://tryhackme.com/path/outline/presecurity) | | TryHackMe — Cyber Security 101 | Premium | [tryhackme.com](https://tryhackme.com/path/outline/cybersecurity101) | | CS50 Cybersecurity,哈佛大学 | 免费 | [cs50.harvard.edu](https://cs50.harvard.edu/cybersecurity/) | | Automate the Boring Stuff,作者 Al Sweigart | 免费 | [automatetheboringstuff.com](https://automatetheboringstuff.com/) | | Google Cybersecurity Certificate,仅旁听 | 免费 | [coursera.org](https://www.coursera.org/professional-certificates/google-cybersecurity) | **你将实际学到什么:** OSI 模型和 TCP 三次握手、子网划分(直到你能迅速算出)、DNS 解析端到端的工作原理、Linux 文件系统和权限模型、加密和哈希的基础知识,以及足以自动化某些实际操作的 Python 能力。 **待安装工具:** [Wireshark](https://www.wireshark.org/),[Nmap](https://nmap.org/),[Cisco Packet Tracer](https://skillsforall.com/),以及 [Obsidian](https://obsidian.md/)。 ### 待交付项目 1. **Python 端口扫描器。** 一个命令行工具,用于扫描目标开放的端口,抓取服务 banner,并标记出存在已知漏洞的版本。 2. **带 AI 集成的日志分析器。** 一个脚本,用于解析身份验证日志,标记可疑的 IP 地址,并将标记的条目发送到 Claude API 以获得通俗英文的解释。 3. **密码安全检查器。** 一个 Web 工具,用于对密码强度进行评分,并使用 k-anonymity 模型将其与 [Have I Been Pwned](https://haveibeenpwned.com/) 进行比对检查。 ## 阶段 2 —— SOC 和 Blue Team **预计时长:** 2–3 个月  |  **成本:** TryHackMe Premium  |  **目标:** 具备 SOC 就绪技能并提交你的第一份实习申请 将此阶段视为一座桥梁,而不是最终目的地。AI 已经自动化了许多 Tier 1 SOC 分析师过去常做的人工告警分类工作,而且这种趋势还将继续。学习这些材料是因为它能教会你攻击者是如何思考的,以及防御者是如何检测它们的,而不是因为你打算以此为长期职业。 ### 学习资源 | 资源 | 成本 | 链接 | |---|---|---| | TryHackMe — SOC Level 1 Path | Premium | [tryhackme.com](https://tryhackme.com/path/outline/soclevel1) | | LetsDefend — SOC Analyst Learning Path | 免费层 | [letsdefend.io](https://letsdefend.io/) | | Blue Team Labs Online | 免费层 | [blueteamlabs.online](https://blueteamlabs.online/) | | Splunk Free Training | 免费 | [splunk.com](https://www.splunk.com/en_us/training/free-courses/overview.html) | | MITRE ATT&CK Framework | 免费 | [attack.mitre.org](https://attack.mitre.org/) | | Windows Event IDs to Monitor,微软 | 免费 | [learn.microsoft.com](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor) | **牢记这些 Windows 事件 ID:** 4624、4625、4648、4672、4688、4697、4720、7045 和 1102。它们几乎会出现在每一场 SOC 和 AppSec 面试中,因此请记住每一个的含义及其重要性。 **需掌握的工具:** [Splunk(免费开发者版)](https://www.splunk.com/en_us/download/splunk-enterprise.html),[ELK Stack](https://www.elastic.co/guide/en/elasticsearch/reference/current/getting-started.html),[Snort](https://www.snort.org/),[VirusTotal](https://www.virustotal.com/),和 [AbuseIPDB](https://www.abuseipdb.com/)。 **可考虑的认证,但必须等你有一些收入后再考:** Splunk Core Certified User(约 ₹11,000)和 TryHackMe SAL1(约 ₹29,600)。 ### 待交付项目 **SIEM 告警分类仪表板。** 设置一个 Splunk 实例,摄取真实日志,构建三个仪表板,并创建两个自定义告警。将每个告警映射回特定的 MITRE ATT&CK 技术 ID。 ## 阶段 3 —— 应用安全 **预计时长:** 3–5 个月  |  **成本:** TryHackMe Premium,外加等你有了收入后的 eJPT  |  **目标:** 你的第一个有效 Bug Bounty 发现以及 eJPT 认证 在这个阶段,你以前积累的任何 Web 开发经验终于开始发挥作用了。你已经了解了表单是如何提交数据的,以及会话是如何管理的。现在你要学习这些逻辑可能失效的所有方式,以及如何撰写足够清晰的报告,让漏洞分类人员(triager)能够切实采取行动。 ### 学习资源 | 资源 | 成本 | 链接 | |---|---|---| | PortSwigger Web Security Academy | 免费 | [portswigger.net](https://portswigger.net/web-security) | | OWASP Testing Guide v4.2 | 免费 | [owasp.org](https://owasp.org/www-project-web-security-testing-guide/) | | TryHackMe — AppSec Rooms | Premium | [tryhackme.com](https://tryhackme.com/) | | Bugcrowd University | 免费 | [bugcrowd.com](https://bugcrowd.com/hackers/bugcrowd-university) | | HackerOne — Hacker101 CTF | 免费 | [hackerone.com/hacker101](https://hackerone.com/hacker101) | | DVWA (Damn Vulnerable Web Application) | 免费 | [github.com/digininja/DVWA](https://github.com/digininja/DVWA) | | OWASP LLM Top 10 (2025) | 免费 | [owasp.org](https://owasp.org/www-project-top-10-for-large-language-model-applications/) | | Gandalf AI Security Game | 免费 | [gandalf.lakera.ai](https://gandalf.lakera.ai/) | **掌握这些漏洞类别:** 各种形式的 SQL 注入、每种类型的 XSS、CSRF、IDOR、SSRF、XXE、SSTI、JWT 和 OAuth 攻击、不安全的反序列化和竞态条件。然后扩展到 prompt injection 和 OWASP LLM Top 10 的其余部分,因为现在几乎每个现代 Web 应用程序都附带有 AI 功能,而很少有初级候选人真正对它们进行过安全缺陷测试。 **需掌握的工具:** [Burp Suite Community Edition](https://portswigger.net/burp/communitydownload),[OWASP ZAP](https://www.zaproxy.org/),[SQLmap](https://sqlmap.org/),以及 [ffuf](https://github.com/ffuf/ffuf) 配合 [SecLists](https://github.com/danielmiessler/SecLists) 使用。 **认证:** 通过 INE 的 eJPT(约 ₹10,500 至 ₹21,000,留意促销活动),以及 BTL1(约 ₹42,000,推迟到你有了收入再说)。 ### 待交付项目 1. **Burp Suite 扩展。** 构建一个自定义扫描规则,用于捕获真实的漏洞模式,例如使用“none”算法的 JWT token。 2. **AI 安全测试工具。** 构建一个自动化测试套件,针对 LLM API 运行 prompt injection 和越狱 payload,并输出按 OWASP LLM Top 10 类别分类的报告。在初级级别,很少有候选人构建过类似的东西,这使其成为作品集中强有力的差异化优势。 ## 阶段 4 —— 云应用安全和 DevSecOps **预计时长:** 4–8 个月  |  **成本:** 每月大约 ₹5,000 至 ₹15,000 用于认证  |  **目标:** 获得一份云安全或 DevSecOps 职位 在这个阶段,你的收入潜力将发生实质性的变化。全球范围内,同时懂 AI 安全的云 AppSec 工程师仍然很稀缺,这意味着薪资达到 ₹50 万卢比(50 lakhs)或以上的远程岗位将成为一个现实的目标,而不是遥不可及。 ### 学习资源 | 资源 | 成本 | 链接 | |---|---|---| | AWS Skill Builder | 免费层 | [skillbuilder.aws](https://skillbuilder.aws/) | | CloudGoat,Rhino Security Labs | 免费 | [github.com/RhinoSecurityLabs/cloudgoat](https://github.com/RhinoSecurityLabs/cloudgoat) | | HackTheBox Academy — Cloud and AppSec | 学生计划 | [academy.hackthebox.com](https://academy.hackthebox.com/) | | Practical DevSecOps,免费资源 | 免费(提供付费认证) |practical-devsecops.com](https://www.practical-devsecops.com/free-resources/) | | OWASP LLM Top 10 (2025),高级应用 | 免费 | [owasp.org](https://owasp.org/www-project-top-10-for-large-language-model-applications/) | **重点关注领域:** IAM 提权路径、S3 配置错误、EC2 元数据滥用、Lambda 执行角色风险、SAST/DAST/SCA pipeline、基础设施即代码扫描、容器安全,以及 AI 安全更高级的一面,包括 RAG pipeline 投毒、ML 供应链攻击和护栏(guardrail)评估。 **需掌握的工具:** [Semgrep](https://semgrep.dev/),[Checkov](https://www.checkov.io/),[Trivy](https://aquasecurity.github.io/trivy/),gitleaks,truffleHog,Terraform,[ScoutSuite](https://github.com/nccgroup/ScoutSuite),[Pacu](https://github.com/RhinoSecurityLabs/pacu),以及 [Garak](https://github.com/NVIDIA/garak)。 ### 认证(按性价比排序) | 优先级 | 认证 | 预估成本 | |---|---|---| | 1 | CompTIA Security+ SY0-701 | ₹33,500 | | 2 | AWS Certified Cloud Practitioner | ₹8,500 | | 3 | AWS Certified Security, Specialty | ₹25,500 | | 4 | BTL1 (Blue Team Level 1) | ₹42,000 | | 5 | OSCP | ₹1,50,000 | | 6 | CEH | 仅当特定雇主有要求时 | ### 待交付项目 **Security Copilot。** 构建一个日志摄取工具,通过查询 Claude API 获取 MITRE ATT&CK 技术建议和严重性评分,并将其接入 GitHub Actions CI pipeline。然后对你自己的工具进行红队测试,并准确记录它在何处失效。最后这一步比构建本身更重要,因为它证明了你了解自己构建的系统的局限性。 ## 公开学习 **成本:** 免费。从第一天开始,并且只要你还在这个领域,就一直坚持下去。 每次学习结束后,请遵循以下循环: 1. **Obsidian,保持私密。** 用你自己的话写下你真正学到的东西,包括你遇到的任何错误以及你是如何修复它们的。 2. **X / Twitter,公开分享。** 发布一段简短的、两三句话的总结,说明你今天做了什么。不需要打磨得很完美。 3. **GitHub。** 推送你编写的任何代码,并附带一份真正能解释其作用的 README。 4. **LinkedIn,每周一次。** 将你一周以来最好的帖子和笔记组合成一条精心编写的更新或轮播图(carousel)。 **针对特定平台的指导:** - **GitHub。** 使用专业的用户名,为每个 repository 添加 README,置顶六个能连贯讲述你进步历程的 repository,每天提交代码,并在阶段 4 之前至少为一个开源项目做出贡献。 - **LinkedIn。** 保持你的个人资料完全填写,每周发布两到三次,并且要真正地与其他人的内容互动,而不是仅仅发布自己的内容。 - **X。** 每天发布简短的更新,对于需要更多深度的内容使用长推文(threads),并真诚地回复你尊重其研究工作的研究人员。 - **博客。** 每个阶段至少发布一篇文章。漏洞分析报告和项目拆解往往能让你比此列表上的几乎任何其他内容更快地受到关注。 ## 简历与作品集 安全岗位的简历最好被看作是针对申请人追踪系统(ATS)的关键字匹配练习,而不是叙事。首先为软件系统编写它,其次才是为人工审阅者。 **简历规则:** - 使用单列排版,不要照片,不要图形,使用标准字体。将其导出为 PDF。 - 按以下顺序排列你的版块:包含链接的页眉、作为关键字的技能、具有可衡量影响的项目和经验、认证,然后是教育背景。 - 使用以下公式编写每一个要点:行为动词,加上任务,加上工具,加上结果。 示例:*“使用 Python 和 Splunk SPL 自动化 SIEM 告警分类,将误报审查时间减少了 40%。”* **作品集网站:** - 在 GitHub Pages 或 Vercel 上免费托管。拥有自定义域名是个不错的亮点,但并非必需。 - 包含关于部分、带有 GitHub 链接的项目部分、分析报告部分,以及一个可正常工作的简历下载按钮。 **面试准备:** - 将你的“自我介绍”回答结构化为:现在,然后是过去,最后是未来。 - 能够毫不犹豫地解释 OSI 模型、TCP 握手、HTTP 动词、OWASP Top 10、DNS 解析以及关键的 Windows 事件 ID。 ## 职业路径与薪资现状 | 里程碑 | 目标角色 | 典型范围 | |---|---|---| | 阶段 1 结束,大概第 3 到第 4 个月 | 虚拟或安全实习生 | 每月 ₹10,000–25,000 | | 阶段 2 结束,大概第 7 到第 9 个月 | SOC Analyst 实习生 | 每月 ₹15,000–30,000 | | 阶段 3 结束,大概第 13 到第 15 个月 | VAPT 或 AppSec Analyst | ₹6–12 LPA | | 阶段 4 结束,大概第 21 到第 24 个月 | 云安全或 DevSecOps 工程师 | ₹12–22 LPA | | 第 3 到 4 年 | 高级 AppSec 或云与 AI 安全负责人 | ₹25–45 LPA,远程职位最高可达 ₹1 crore | **去哪里实际申请:** - **Internshala。** 筛选网络安全、道德黑客和 VAPT 列表。 - **LinkedIn Jobs。** 使用诸如 SOC、VAPT、Burp Suite、Splunk、AWS Security 和 AI Security 等关键字优化你的个人资料。 - **HackerOne 和 Bugcrowd。** 你的公开排名和已披露的报告本身就是一份直接的申请。 - **Naukri.com。** 阶段 3 及以上的一个可靠平台。 - **Turing、Toptal 和 YC Jobs。** 当你达到阶段 4 或更高时,寻找远程、全球性职位的绝佳选择。 说点实在的:AI 确实正在减少对人工 Tier 1 SOC 工作的需求,而且这种趋势不可逆转。但这不是恐慌的理由。它是你不断向云 AppSec 和 AI 安全靠拢的理由,在这些领域,AI 往往会提升你的上限,而不是威胁你的职位。风险最大的人是那些使用 AI 工具却不了解其工作原理的人。受益的人则是那些能够攻击、防御和构建使用 AI 的系统,并且清楚地了解这些系统在何处失效的人。 ## 值得关注的人 **SOC 和 Blue Team** - John Strand (@strandjs),Black Hills InfoSec,教授免费的“SOC Core Skills”课程 - Heath Adams (@TheCyberMentor),TCM Security 的 CEO,免费提供完整的黑客课程 **应用安全和 Bug Bounty** - Anand Prakash (@anandpraka_sh),AppSecure 和 PingSafe 的创始人 - Jason Haddix (@Jhaddix),“The Bug Hunter's Methodology”的创建者 - STOK,也被称为 Fredrik (@stokfredrik),“Bounty Thursdays”的主持人 - NahamSec (@nahamsec),以 Bug Bounty 直播而闻名 - Justin Gardner (@Rhynorater),Critical Thinking Bug Bounty Podcast 的主持人 **云安全** - Ashish Rajan (@hashishrajan),Cloud Security Podcast 的主持人 **印度应用安全研究员** - Vivek Ramachandran (@vivekramac),Pentester Academy 和 SecurityTube.net 的创始人 - Somdev Sangwan (@s0md3v),XSStrike、Photon 和 Arjun 的创建者 ## 免责声明 本代码库是一个独立整理的学习指南。它不是官方的职业建议、财务建议,也不是对任何结果的保证。在依赖它之前,有几件事值得铭记在心。 - **时间线是预估值,而不是保证。** 你在每个阶段推进的速度取决于你投入的时间、你以前的背景,以及你开始申请时就业市场的状况。 - **价格和链接可能会发生变化。** 认证费用、考试成本和平台定价在撰写本文档时是准确的,但它们可能会发生变动。在支付任何费用之前,请务必直接向供应商确认当前价格。 - **薪资数字是指示性的,而非承诺的。** 它们反映了撰写时的一般市场规律,并会因公司、地点和谈判而异。 - **与此处提及的任何公司或个人没有附属关系。** 本项目未受到上述任何平台、认证机构或个人的赞助、合作或认可。所有商标和品牌名称均归其各自所有者所有。 - **对于任何涉及安全敏感的操作,请使用官方渠道。** 在扫描、测试或攻击任何系统之前,请先获得明确的书面许可。仅在你拥有的系统上,或者在你具有明确法律授权的平台上进行练习,例如你自己的实验室、批准的攻防演练(wargame)或范围内的 Bug Bounty 项目。 - **这是一份动态更新的文档。** 欢迎通过 pull requests 进行更正、更新链接和贡献。
标签:DevSecOps, 上游代理, 学习指南, 安全学习路线图, 漏洞利用检测, 逆向工具