这半年学习 web 安全的一点心得体会

本文作者：Mirror（信安之路小白成长计划第三个达到 100 分的成员）

大家好，我是 Mirror(王宇阳)，专科在读的大二学生；接触信安时间不长，大佬多多指教。信安之路成长平台网站开放后我就在双十一那天积极注册、上传报告，目的就是希望自己的笔记可以和更多人分享；到目前为止我上传了 12 份报告，总共获得 106 分。这段时间可以说是我踏入信安的见证吧！

大学我的专业是“Web 前端开发”，高中我学习的是 C 语言，庆幸自己有 C 语言的基础，大一我在网络“广告”的轰击和自学自救中，先接触 Python 后接触 Java，期间 HTML+CSS+JavaScript 都有接触；虽心向往“信安”但是没有真正意义上的学习。

在五月份的时候，才开始学习 Web 安全，我的第一个学习指南是《知道创宇技能表v3.0》，买的第一本书是《白帽子讲 Web 安全》在看书的过程中，发现零基础很难看懂这本书；到六月的时候，读了第二本书《Web 安全深度剖析》，这本书对我来说才是真正意义上帮我入门的书籍，暑假打工期间，信安之路推出了“小白成长计划”，信安之路是我订阅号列表中唯一没有广告、抽奖等各种垃圾营销且内容高质量的技术公众号，让我非常想加入其中！但是作为“廉价劳动力”赚钱的我，暑假期间完全没得时间。

随后我加入了“信安之路成长平台”，找到了适合自己的学习平台；下面是我之前学习编写的报告：

在一开始，我把学习报告当做一个“任务”去完成，报告内容拓展的很少，在实践过程中完全属于“照葫芦画瓢”的学习，这种学习方法对于提高我自身的技术能力帮助不大；后来我逐渐转变了学习方法，不再照葫芦画瓢，“先看、再研究、最后实践”，这样我就可以在完全了解知识点后，依靠自己掌握的知识去实现：文件上传、包含漏洞、SQL 漏洞环境的搭建、SQL 注入 Payload 和手工注入、XSS 漏洞环境的搭建等学习报告，结果也佐证了这种学习方法可以更好的提升学习的效率，消化吸收的知识更多；在这段时间的学习过程中，发现自己的编程能力还有所欠缺，日后我还是需要再提高自身的编程能力。

一味的学习书上的技术知识点，不实践是万万不可的，”实践是检验学习成果的方法“；当然黑网站是万万不可的，不然警察叔叔的茶会很苦的！但是可以选择 CTF，遗憾的是学校的限制，不允许这类的社团和协会的存在，无法在校内找到志同道合的小伙伴一起，去年没有参加 CTF 的机会和时间；根据大佬的建议去做了几个网站的 web 题和少部分的 CTF 比赛题库，收获很多，在 CTF 赛题中可以将平时学习到的基础知识点充分利用起来，有时候还能发现题目的一些奇葩之处，在看完别人的 WriteUp 后，感觉自己好“菜”；除此之外还通过做题学会很多书本之外的知识和思路。

对于初学者而言，“基础”还是非常的重要的，不能排斥书本上一些知识细节，也许那些内容就是一个骚套路；比如我昨天遇到一个题目是 XSS，但是每一次后台只接受 20 个字符，内容可以重复提交且保留，我一直想不出办法，于是翻开一本关于 XSS 的书《XSS 跨站脚本攻击剖析与防御》，找了很久没发现，但是当我仔细看 XSS 构造的那一章的时候看见了“拆分跨站法“，茅塞顿开呀！

知识积累和分享是必要的！写技术博客会是个很好的选择，不但可以将自己的学习经历和计划记录下来并进行积累，还可以提升自己的文笔。一开始我没有意识到博客文章的重要，但是后来我越发的认为博客是一个很好的载体。

我在 2018 年年底在“博客园”开了一个博客账号，把自己的 Python 学习、Java 学习的笔记发表在上面；接触信安之后，也开始在博客中写信安方面的文章和笔记，这是一个成长的过程，而博客就是见证这个过程最好的存在。当然信安之路成长平台也是一个很好的成长过程记录的平台。

博客地址：

https://www.cnblogs.com/wangyuyang1016

2020 年的元旦已过，我的学习计划和目标如下：

1、继续学习 Web 安全，争取参加 CTF 比赛积累 Web 安全的经验；同时向渗透测试的学习迈进。

2、提高代码编写能力，可以更高的学习代码审计。

3、紧跟信安之路成长平台的方向，继续学习。

—— 学习重在坚持，坚持是一种可贵的精神。

本文始发于微信公众号（信安之路）：这半年学习 web 安全的一点心得体会