闲来整理出一份web安全的学习列表来。这是给自己学习的规划，也是给各位同样苦恼如何迈入web安全大门同胞的一个参考建议。

PS:以下仅代表个人观点。

初级学习

--------------------------------------------

1.OWSP TOP 10 了解这TOP10的基础信息 ---Google，Baidu,Bing,维基百科

2.相关靶机环境 

http://www.dvwa.co.uk/

http://vulnhub.com/entry/owasp-broken-web-applications-project-111,46/

--------------------------------------------

中级学习

--------------------------------------------

1.相关学习资料：

https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series

https://www.pentesterlab.com/bootcamp/

2.相关靶机环境：

https://www.pentesterlab.com/exercises/

http://vulnhub.com/entry/bwapp-bee-box-v15,53/

--------------------------------------------

高级学习

--------------------------------------------

学习资料：

1.在接触了上面的这些资料和实验后肯定会感到自己的不足和迷惑，想要更好的在web安全的道路上走下去，那势必要学习更多的技能才能满足自己而我觉得编程是我们不得不接触的东西，否则我们只能是一个门外汉。

2.PHP,python,javascript,ruby等这几种脚本语言我觉得我们应该有所涉猎至少其中的一种或几种。

3.知道创宇的技能表，你值得一读

http://blog.knownsec.com/Knownsec_RD_Checklist/v2.2.html

4.实战很重要，实践是检验真理的唯一标准，我们是否掌握所学，只有到了实战中才能体现出来；其次关注最新的漏洞动态，自己动手搭建试验环境还原漏洞的效果，深入的了解相关漏洞的危害和修复方案

5.推荐一些学习web安全的书：

《黑客攻防技术宝典 Web实战篇》

《白帽子讲Web安全》

《XSS跨站脚本：攻击剖析与防御》

《Web前端黑客技术揭秘》

更多关于web安全方面的书籍请参考该Blog:http://my.oschina.net/bluefly/blog/335409

web安全进阶规划表