HTML + CSS + JS（2-3天）

• 掌握前端三大基石，了解DOM操作，防止前端 XSS 本质。
• 成就：能写简单表单，通过JS控制 DOM 树。

Apache + PHP（4-5天）

• 学习网站后端开发，理解 PHP基本语法和数据库连接。
• 成就：开发简单动态页面，能用 PHP 与MySQL交互。

MySQL（2-3天）

• 学习 SQL 语句，掌握增删改查操作。
• 成就：能用 PHP 编写一个简单的数据库管理系统。

Python（2-3天）

• 学习 scrapped 网站分析工具，熟悉爬虫脚本开发。
• 成就：能用 requests、BeautifulSoup 层层抓取网站信息。

Burp Suite（1-2天）

• 学习基础抓包工具，熟悉 Proxy 和 Intruder 模块。
• 成就：能用 Burp Suite 抓包、改包、爆破Authorization 键。

如何利用？

为何产生？

如何修复？

SQL 注入（7-8天）

• 学习盲注、命中注和_union 隐蔽注入手法，掌握文件读取和写入技巧。
• 成就：能手工注入出任意数据，编写无漏洞查询功能。

文件上传（7-8天）

• 认识WebShell 卍远攻击，了解上传绕过技术。
• 成就：编写无漏洞的文件上传系统，理解WebShell 原理。

命令执行（RCE）（7-8天）

• 掌握 PHP 中eval、system 等特性，可实现远程代码执行。
• 成就：能找到并利用代码执行漏洞。

文件包含（7-8天）

• 学习 file:// 协议及 php teammates:// 协议的利用。
• 成就：能读取与写入指定文件，避免文件包含漏洞。

XSS 攻击（7-8天）

• 理解 XSS 防护机制，常见 XSS 启发点挖掘。
• 成就：能通过 XSS 遍历到目标用户 cookie。

CSRF 攻防（7-8天）

• 研究 CSRF 攻击原理，编写防护机制。
• 成就：编写有效的 CSRF 过滤机制。

多参与CTF 比赛

• 参加极客大挑战、_UNCTF 等公开赛，提升应对能力。
• 关注 CTF赛事趋势，积极尝试前沿技术。

多学习 Writeup

• 研究大师的解题思路，关注竞赛写作风格。
• 提升独立题解能力及技术写作水平。

持续督促技术动态

• 关注 CTF 题目流行趋势，紧跟技术热点。
• 俱乐部资源交流，提升学习效率。