这 3 点是我能入门安全的关键

大家好，我是 mtcz91 ，对信安的兴趣可能来源于电视剧快乐星球，每次看到丁凯乐按下 Enter 键穿越到快乐星球，都让我心驰神往，虽然本科力排众议学了计算机，但入门信安也走了不少弯路，很荣幸能有这次机会和大家分享我在学习信安过程中的一些感悟。

0x00 态度决定高度

经过将近一年的时间，终于拿到了小白成长计划的 100 分：

而达到百分的最后一个任务也是我得过的最高分——14 分，翻看之前的报告，我最低的一篇只得了 3 分，撇开一些写报告的方法、技巧等因素，我想，做两次任务时的态度是造成分数差异的主要原因。

写那篇 3 分报告时，我只是把它当成一个需要完成的作业，想快点做完进入下一关，仅仅把目标定为达到任务基本要求，对于做任务时遇到的一些问题没有进行深入拓展，自然得到了一个求其中得其下的结果；而在写 14 分的报告时，我用了几个整天时间，先看了视频教程，然后查阅了 Freebuf 、先知社区等等安全社区以及百度、Google 到的许多安全研究人员的文章，从基本原理、漏洞利用再到 waf 绕过进行了全面细致的学习，把围绕主题的每一个知识点都彻底弄懂并且进行了实际操作。一些博客文章中，提出的方法并没有讲解原理，比如在 IP 地址绕过中，作者只是写了可以将 IP 地址转换为 10 进制数以绕过检测，并且贴了一个转换地址的链接，我实操虽然成功了，但是我抱着 IP 地址是怎么进行转换的、而浏览器又是如何解析 10 进制地址的疑问开始查资料，最后我理解了其背后的原理，并且知道了 IP 地址不仅可以转换为 10 进制数，还可以转换为 8 进制数和 16 进制数进行访问。我深深地体会到，能学到多少知识、能把技术掌握到什么程度很大程度取决于你学习时的态度，时常问自己一句“你尽力了吗？”

0x01 “基础不牢，地动山摇”

万丈高楼平地起，信安学习也是一样，基础不牢，烂尾可能不至于，但最终还得回过头来筑牢基础，与此同时盖上层建筑也会事倍功半。

关于这一点，我最早是在打篮球的过程中体会到的，我刚开始苦练投篮、运球，进行力量训练，然后在学过人技巧乃至后面的空中漂移拉杆上篮都是很轻松就学会了，甚至没有刻意去练习，我想，这和我初期的基础训练密不可分，正是因为我的基础打的很牢，在学习“外功”的时候才能运用自如，就像当你真正理解了 xss 的形成原理后，对各种 payload 的变形自然是一通百通。在信安之路小白成长计划中，我把 web 部分完成了大部分，现在感觉自己基本掌握了 web 安全的基础，下一步就是对各类 web 漏洞进行深入研究。

0x02 持之以恒

与其说坚持，我想不如在学习信安中找到乐趣，当你不断投入时间、精力学习信安，就像小王子的玫瑰花一样，倾注的越多越会产生更大的兴趣去学习，一方面你会发现自己能看懂的技术文章越来越多了，另一方面在这个过程中其实已经培养了对信安更大的兴趣，在不断形成正反馈后，“坚持”可能就是水到渠成。

在小白成长计划学习过程中，在写前 5 篇报告时，我用了很长时间，甚至中断了几个月，直到今年疫情期间，才又沉下心来继续学习，到现在我会尽量挤出时间学习成长平台上的任务，成长平台上的任务列出了需要完成的任务条目，虽然开始的时候很不习惯，但越往后我越感觉到这样设计的好处，在这个过程中，你需要主动去学习，主动去查资料，同时不会限制你的思维，这两点我觉得是成为网络安全人员最重要的特质，在提交报告后，还可以看其他小伙伴的报告进行查漏补缺，形成闭环。

0x03 总结

最后，非常感谢良哥提供了这个成长平台，我在这篇文章多次提到成长平台，是因为我在打广告，是因为我真的觉得自己在成长平台得到了成长，在此也立个flag，现在平台积分 112 分，希望在一年后积分达到 300 分。

我很喜欢 extraordinary 这个单词，每天都为超出平常（ordinary）多做一些额外（extra）的努力，终将超越平凡，与各位师傅共勉。

本文始发于微信公众号（信安之路）：这 3 点是我能入门安全的关键