与其感慨路难行，不如马上出发

大家好，我是 B1aK2，一名正在信息安全道路上前行的新人。通过之前一段时间的学习终于完成了百分成就:

故有幸在此为大家分享自己的学习经验，因个人水平有限文章中的不足之处还请多多包涵。

0x01 个人总结的学习框架

对于新知识的学习应该明确的点有三个：

1、学什么？

2、怎么学？

3、及时复习

在此基于这三点围绕信息安全学习的过程来进行阐述。

0x02 学什么？

大的目标点

明确学习目标是新知识学习中首先应该完成的事情，有了目标才知道自己应该往哪里前进。但对于新人来说在没有人指导的情况下在明确目标这一步就会比较迷茫，因此个人建议如下：

1、根据 OWASP TOP 10 中总结的漏洞类型来设定目标。但是其中部分项目也比较杂糅需要在这个点上继续分化，分化的问题就放在下一部分讲解。

2、培训机构白嫖教学大纲。这个我也是在看别人分享学习经验的时候得到的，原则上我不推荐培训机构他们的教学大纲在帮助快速明确学习目标上确实是有很大帮助的，无论线上还是线下的培训机构在询问有啥课程的时候都不怎么忌讳。

3、网络上入门文章的学习。网络上大部分的入门文章因为推荐的书里面有细分的知识点，所以文章里面就没有明确的要学习的点。因此文章对目标的初步建立不关键，但是请务必参考文章里面推荐的书籍来帮助自己建立目标。

小的知识点

在知道了应该学习哪些知识点之后，那么针对这些知识点又该从哪方面入手？

这方面的经验是我在良哥的正常平台上学习时总结的。一共有三个点：

1.漏洞的成因是什么？

2.如何利用这些漏洞？

3.这些漏洞应该如何防御？

从原理-利用-修补这三个方面来进行学习。

0x03 怎么学？

老生常谈的话题了，标准回答当然是善用搜索引擎。对漏洞的原理、利用方式、如何防御进行搜索来获得详细的知识内容，好的社区如 T00ls、先知又或者 freebuf、安全客等门户网站上都有很不错的文章。

知识内容的问题解决了之后就是实践的事情了，但对初学者来说环境永远是最难解决的问题。

个人建议可以先在虚拟机上的 Windows 系统中利用 phpstudy 并结合综合的基础漏洞平台 dvwa 来进行学习。

一是因为环境搭建简单不容易在环境搭建这方面碰壁，二是因为漏洞非常基础因此能够有效的看出成功继而让学习兴趣保持下去。

但是之后请务必再手动搭建 linux 系统下的环境来加深自己对网站架构的理解，

了解构成一个 web 应用的部分有哪些。这样才能帮助自己了解各种漏洞出现问题的地方。

综合漏洞学习完毕之后就是专项漏洞的学习了，综合漏洞毕竟是比较基础的，想要更深入的对学习到的知识点进行实践需要更特定的环境了，靶场推荐：

https://github.com/c0ny1/vulstudy

在这些漏洞的学习中应该反过来强化基础知识了，如编程语言的学习、各种协议的学习等。基础知识以及漏洞的学习完成之后便可以考虑在实际场景中进行试验或者在 CTF 中锻炼自己了。因为自己也正处在这个阶段，因此无法对这些内容提供有效帮助。

实际漏洞挖掘与 CTF 中学习的同时，关注一些最新的漏洞动态或者大佬们对漏洞的研究文章，积极动手复现、学习相关漏洞。这是学习的东西就会非常的杂了，所以我们要做好学习内容的分类，这样才能对自己的知识有个结构化的认识，知道自己在哪方面有所欠缺，方便自己查漏补缺。

0x04 及时复习

这方面其实没啥特别的方法，只有靠自己坚持。但如果看自己的文章觉得比较羞耻，或者不太能静下心来的话可以把自己每次参考的资料地址记录下来，对这些资料内容进行再学习。

0x05 乐于总结与分享

分享这方面自己做的挺差的，因为忙于学新东西也没啥时间整理学习内容再发布到自己博客上面。在此也希望自己能在生活状态安定下来之后多一点时间来总结与分享。

本文始发于微信公众号（信安之路）：与其感慨路难行，不如马上出发