最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议。

我的学习之路


转眼间,我从学习渗透测试到工作也快六年了,记得刚开始接触安全是在 2012 年初,刚进入实验班的时候,在之前曾经在图书馆借了一本《黑客笔记》来看,回到寝室看了两页,完全一脸懵逼,一点看不懂,然后就原封不懂的还回去了。我考入大学时的专业是网络工程,跟安全并不沾边,身边也没有做安全的同学,由于学校全校选拔实验班,所以才有了接触安全的机会,进入实验班后就开始了我的安全之路。

回想当时学习安全时的场景,由于之前学过数据库、数据结构、c 语言等专业课,但是对于安全来说帮助并不是很大,所以也算是从零开始学安全。希望我的这些经历能对大家的安全学习之路有所启发。

当时我看的第一本安全资料是 txt 版的《黑客笔记》,还是我们班学习委员分享给我的,在当时一点基础都没有的时候,看起来是非常费劲的跟我大一的时候看是一个效果,但是,既然已经进入了实验班,以后要走这条路就不能像大一的时候那样放弃,所以就硬着头皮一点一点的看,即使当时看不明白,没关系,能够在自己的脑海中留下一点印象就足够了。再后来,我们的网络攻防课给我们发了一本黑客书籍《黑客攻防技术宝典- web 实战篇》,同样硬着头皮把它看完一遍,在看书方面基本也就完整看了这两本书。

如果只是看书的话是非常无聊的,大家都深有感触,尤其是在看不懂的情况下。如何解决这个枯燥的问题呢?我当时的解决办法是:

1.保持足够的兴趣才能坚持下去

2.寻找志同道合的朋友或者组织一起学习一起交流

3.参加CTF比赛,在比赛时会遇到很多有趣的知识点,针对自己的不会的知识点进行逐一理解

4.在学习技术的同时,整理自己学到的东西,然后分享在自己混迹的组织之间

5.在网上寻找有漏洞的网站,进行实战,在获取到权限之后也会提升自己的成就感(目前大家可以拿国外的站点练手,不要选择敏感目标,切记)

我第一个参与的组织是AG 安全团队,当时还在玩 YY ,一起玩耍一起学习,后来就在老K的引导下加入了 90sec ,然后每天看看论坛的文章,基本上把论坛之前发过的所有文章都看了一遍,然后把自己在学习中总结的所有知识发到论坛,这样在大家的鼓励下,学习的激情会逐步提升,在体现自己能力同时学习技术,这就是在学生时代的成就感。

在毕业之前学习的安全知识基本上是以 web 为主,毕竟在安全领域,web 安全占据了主导地位,涉及面非常广,有关内网安全、外围服务安全等知识都是在工作后才接触的,这里就不多说了。

点击收藏 | 1 关注 | 1
登录 后跟帖