戒骄戒躁，砥砺前行

hello，大家好我是 Whitesun，信安之路 web 安全小组组员、安全行业菜鸟。时隔几月再次在信安之路上发表文章（主要是不够强，中间一段时间都没有可以发的东西 hahahaha），这次我来给大家分享我学习安全的经验和感悟吧。

历时一个多月，终于在成长计划中拿到了 100 分。虽然一个月看起来很短，但是对于我是相关专业并且有相关工作的人来说还是很长。期间任务也是断断续续的完成，不过还好，在我的不断拖延下拿到了 100 分。接下来就是向更高的分数出发！

怎么说呢，我是在加入信安之路 web 安全小组之后才有幸发现这个小白成长计划。虽然我也算个安全行业的入门者，但是学无止境嘛。而且这个学习平台的模式还不错，自学完成任务后可以查阅其他人的报告。这个是很好的学习方式，因为有时候一个问题有多种解决方法，可能你能解决掉问题，但并不是最好的方法。通过查阅别人报告可以更好的拓宽自己知识面，从而更好的提升自己。

希望我这篇文章的经验能让各位小伙伴们觉得有所帮助！下面是我的得分情况：

首次接触到黑客这个概念是在电视、电影中，觉得黑客是真的厉害，分分钟就能控制别人的电脑或者反手就把发电站给黑了，简直是太酷炫了。但是让我真正对这个行业向往的是在邻居大哥哥带我去上网的时候，利用相关技术绕过了网管系统从而免费上网(后来还是被网管抓了)。当时我下定决心我要当个行侠仗义的黑客，那年我十五岁。

而后来，我因为贪玩，荒废了大半时光，甚至从高中转到职高，混混噩噩的混了两年半。还好最后半年因为一系列的变故终于让我清醒了起来，这半年我拼劲全力的学习。最终还好，考入一所不差的大专选择了我少年时觉得很酷炫的信息安全专业。开始了我的新的一段旅程。

一些学习感悟

在进入到大学这个专业后，因为学校有系统的学习所以上手是比较快的，所以真正的开始对这个职业、行业有了真正的理解。

1、安全，行业和其他行业最大的区别就是学安全等于你什么都会要涉猎，这样你才能比较容易的达到自己的目的。或者是在建立安全体系，规划安全架构的时候才能得心应手。

2、真正黑客们虽然不能像电影里那样分分钟控制一个大型机构或公司，但是通过精心策划的渗透同样也能达成一样的结果。前提是你的技术达到，或者有一个团队。

3、学安全难吗，不难。重点是你真的喜欢这个行业吗，还是只是了解到这个行业发展前景好，来钱快。确实，安全行业工资高，但是人家是付出了超出其他行业多倍的努力才拿到的。所以学安全重要的是求知欲、毅力、思考能力、逻辑思维以及最重要的：正义的心，如果是为了黑产赚钱或者是其他不正当的收益来学习安全技术。我觉得没有必要，虽然你可能会赚到点钱。但是被抓也是必然的，厉害的人太多太多了，更何况祖国的网络安全实力也很强。

我的学习方法

入门的学习方法有很多种，但是就我来讲。最重要的是一开始的基础知识和功底，比如你学代码审计，你不懂语言的去代码审计相当于边学语言边学审计。你要是一开始就熟练掌握一门语言再去代码审计，那是不是就很清晰明了很多呢。所以，基础很重要。

基础过后呢，就是思路。能想到或者向大佬们学到更多思路那是再好不过了。技术+思路=在实际环境中游刃有余 ，当然这个过程任重而道远。

基础学习：

1) 计算机网络方面

计算机网络和网络安全是密不可分的，学好计算机网络会让你对信息安全更加有深层次的理解

2) 编程语言

学习一门或者多门编程语言是非常重要的，对以后脚本、poc、exp 的编写都非常有帮助。我学的是 python，可以根据自己喜好的来学。但是我觉得 python 比较好上手，如果能学多门的最好。技多不压身，如果以后不做安全说不定还能转行哈哈哈。

3) 网络安全相关法律

网络安全相关法律是肯定要学的，避免挖洞或者踩坑。知法懂法才是一个合格的白帽子

4) 信息安全基础知识

既然是基础就是什么都要学点，拓宽知识面。为以后选择一项深入学习有更多空间。比如密码学、web 安全基础知识、渗透基础知识、安全工具的基础、安全设备的了解、安全架构等一些。并不是要学精，只是适当学习了解就 ok

进阶学习:

确定自己方向，是 web 安全，还是内网渗透、逆向、二进制研究、安全研究等

1) 方向选择

因为我的主要方向是 web 安全。所以着重讲 web 安全的学习。

这个刚好，良哥的信安之路学习平台很不错。对于入门来讲非常好，而且还能看到别人的报告，简直完美。可以通过别人的总结来弥补自己的不足。

2) 大概过程

学习，除了自学或者学校以外，还是需要个氛围好的团队或者组织。像信安之路就是一个非常好的安全圈子。这样不仅仅是交流也是督促。想要变强不是一蹴而就，而是日积月累。

做安全最快的学习就是实践，对新出的漏洞进行复现。自己搭建环境来进行渗透，或者是不要太过分的去挖掘网站的漏洞。也不要忘了每次实践后的沉淀，要多思考背后的原因

思路方面

1) 安全论坛、公众号、大佬博客

多逛逛 90sec、seebug、freebuff、chabug、先知社区、t00ls 啊等等一些安全论坛，里面不乏有很多大佬的各种思路。有点虽然时间很久远，但是说不定哪天你就会发现用上了。

发现大佬的话最好能找到他的博客之类的，你会发现里面都是宝藏，就算是用不到的也是对自己知识面的扩展

最后就是安全公众号，现在公众号数不胜数。真的很多，可以适当关注些比较给力的比如信安之路、宽字节安全、bypass、米斯特安全团队等等也是很多。就算你是抽空看看，吃饭看看，上厕所看看，相信我。都是会有用1

2) 头脑风暴、善于动脑

当你自己知识量累计到一定程度的时候，就可以开始不断思考了。多思考可以让自己的脑子活跃起来，说不定就灵光乍现发现新的思路。或者你也可以把以前学的知识沉淀一下，温故而知新说不定也会有新的发现。

没有动力怎么办

相信大家肯定有时候不想学，或者是学不进。很正常，不要慌。这种情况大家都会有，这时候你可以去和朋友打打游戏，旅游，逛街。做自己兴趣爱好的事情。

而后好好冷静下来静静思考，如果你是真的喜欢，肯定动力也会有了。有所追求就一定会有动力。

我的成长历程

一开始我提到过，高中阶段我荒废了两年半。很多人问我会后悔吗，我的答案都是不会。因为当时每个选择都是我自己做的，就算现在看起来有些决定很 SB，但是我知道当时的我那样做都是有原因和思考过的。

虽然在高中我算半个街溜子，但是到大学来我感觉自己得到了蜕变。最离谱的是我觉得学习会让我不反感了，也能静下心来学一些东西。也成为同学眼中的学霸~。当然，分数意义上的。真正实力还是菜，真的菜。当时在一些 SRC 上挖洞也只是中游水平，没办法技术还有待提高。挖洞呢也只能搞一些 Nday 啊，逻辑漏洞啊一些。但是还好，知识底蕴在。出来实习的时候进了一家集成商，主要是搞安全设备的。

虽然和我当初想的不太一样，当初是想做安服的。但是慢慢我发现安全设备也挺有意思，因为可以接触很多安全建设项目。可以知道大厂的安全架构和解决方案。也算是从另外的方面提升自己，工作时候虽然对 web 安全学习没以前那么频繁了，但是并没有丢下。我觉得学习嘛，频率可以放缓，但是不能放弃。万一以后又想做安服呢。学的越多越感觉自己菜，还好机缘巧合下加入了 web 安全小组感谢 @晚风 @myh0st，以及各位小组成员。大家给了我不少知识和动力，让我更加的坚定自己的方向。

做安全切记要不惧困难，戒骄戒躁，砥砺前行。共勉！