大神给个学习思路自学

Web安全相关概念熟悉基本概念（SQL注入、上传、XSS、CSRF、一句话木马等）。
通过关键字（SQL注入、上传、XSS、CSRF、一句话木马等）进行Google/SecWiki；
阅读《精通脚本黑客》，虽然很旧也有错误，但是入门还是可以的；
看一些渗透笔记/视频，了解渗透实战的整个过程，可以Google（渗透笔记、渗透过程、入侵过程等）；

熟悉渗透相关工具熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。
了解该类工具的用途和使用场景，先用软件名字Google/SecWiki；
下载无后们版的这些软件进行安装；
学习并进行使用，具体教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；
待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱；

熟悉Windows/Kali Linux学习Windows/Kali Linux基本命令、常用工具；

服务器安全配置学习服务器环境配置，并能通过思考发现配置存在的安全问题。

脚本编程学习选择脚本语言Perl/Python/PHP/Go/Java中的一种，对常用库进行编程学习。

源码审计与漏洞分析能独立分析脚本源码程序并发现安全问题。
熟悉源码审计的动态和静态方法，并知道如何去分析程序，参见SecWiki-审计；

安全体系设计与开发能建立自己的安全体系，并能提出一些安全建议或者系统架构。

别怪我，百度不然一次性发完 多一点就会进回收站

最好学一门语言，py php js