安全学习总结

一、回顾与总结

学习网络安全已经有快一年了，2020年这一年真的是一言难尽，往事不堪回首。现在我就这一年安全学习进行总结整理，并且开始对新的学习阶段进行展望。

我从大二开始就在一个学长推荐下，开始了学习linux，刚开始买了本书，学习了一些简单的命令，后面在学长推荐下报名加入了阔知学堂，安全牛的网络安全公益项目，叫做：网络安全公益-高校篇，里面有一系列的网络安全必须课程。可惜我没有坚持看完并做好笔记，有点浪费了这次的机会。真的很感谢安全牛，算是打开了安全的大门。也很感谢我的学长，从入学就这么帮助我，笔芯。当然有大学的同学也是可以去申请这个安全牛的视频，我是19年6月底申请成功的，一般是每个学校所有同学一起申请的并且人数一定要高于15个，20年也有这个项目后面就没怎么关注了。

后面我加入了学长创建的安全交流群，看里面对于python是非常的推崇的，我又学了几个月的python基础，现在想来不论pyhon还是linux对于安全学习，和以后的发展都是很有用的，可是我都没有学通，学一些丢一些.到现在连用python写个脚本的做不到，真是惭愧。

从20年开始我就正式开始学习安全的，一开始是因为学校的专业方向要开始学习，在老师的推荐下看了一个视频，囫囵吞枣的看了一遍，也没有书也没有做笔记，只是跟着视频做了一点试验为了完成老师的任务。我一直满足于自己这种假努力，以至于后面我的面试笔试屡屡碰壁。在第一次安全服务工程师的面试中，我遇到了一个前几届的学长是面试官。他问的只是一些非常基础的网络原理基础，还有渗透的基础，我们都有很多答不上来的，全程一直蒙圈。

回到学校我才发现以我的知识根本不可能找到工作，我就开始着重于基础的学习，买了三本书《web安全攻防渗透测试》,《web安全深度刨析》,《白帽子讲web安全》,又在网上找了很多资源，跟着书本一点点学，一个个做实验，练习靶机，同时也开始对网络原理的深入学习。

两个月后我把两本书学通了，学完了再去面试，结果还是问了好多我不会的问题，不出意料又没过，始终不是猪脚不可能凭靠两个月的逆袭，面试中又涉及了后渗透。我又去买了一本内网渗透的书《内网安全攻防》，书是看完了，技术点也学了很多，就是一直没有系统性的内网的练习，里面的很多工具也没有用过，因为看的抓急，没有系统性的笔记整理，也没有看完一套内网视频，可惜了。

在学期最后六个星期，我也不想找工作了，刚好学校给我们请了一个学校外面的培训机构，给我们从网络原理tcp/ip五层的原理漏洞攻击方法，到基础渗透，最后还涉及了一点内网渗透。到这里我才真正的把安全的基础梳理通，而且也找到了以后的学习路径和方法。

我在快放假的时候在北方学校那边找到了一份安全服务的工程师的岗位，因为北方的凛冬将至，又要快放假了，我果断推了。回到了南方，最后，我终于在一个400人的公司，找到了信息安全工程师的实习生职位。公司的信息安全刚刚搭建起来，事情不是很多，时间也很充足可以去自学，当然里面也学不到深入的安全知识。有点遗憾没有进入到大厂，但是咸鱼博主有点舒服这样的实习。

总结

感觉这一年的学习过程，不论学习内容还是学习进程都比我大学前两年多得多。从一开始的学了一点点就洋洋得意，以为足够了，到中期的确定目标，确定方法，到后期经过系统的梳理，明确以后的学习方向。才深刻的明白不知者无畏，像我这样的笨人还是多看书为好，不应该想太多，徒增伤感。书山有路勤为径，学海无涯苦作舟。

不足：因为前面一段时间不想买书，以为仅仅凭借网上的东西随便看看就可以了，所以白白浪费了几个月时间

前面的学习，没有计划也没有有意识的做记录，导致学习效率低下。

 

二、推荐学习路线

(有一定的计算机基础的)

1.计算机网络原理

首先一定要把网络原理学通，特别是大学生想找工作的，网络原理很重要，很重要，很重要。重要的事情说三遍。

2.linux

linux一定要学好至少基础命令一定得会，我现在使用的最多的虚拟机就是kali，而学安全的虚拟机是一定得会一点的。

3.web渗透基础

web渗透基础学习，sql,xss,文件上传，xss,csrf。。自己上网找，学这些漏洞不能着急，一天学一个，或几天学一个。从原理、利用方法、代码到修复方法全部好好学，有条件的可以尽量练习靶机，而且练习靶机时各种简单的代码和poc最好手敲

4.内网渗透/代码

其实内网的要求在最开始的阶段要求不是很高，只要学习几个常用的工具就行了。代码：python写脚本，java、php代码审计用的。我认为在这个信息时代，不是计算机方向的都开始学代码了，计算机方向的那就更应该学代码了，不学代码的计算机猿是没有前途的，个人观点。

 

三、我的计划学习路线

(几年大方向)

1.vulhub、vulnhub靶机的练习

在前段时间，我开始了使用vulhub靶机的漏洞复现，现阶段只是单纯的将漏洞复现做了一下，到后面阶段的学习方向就是将漏洞的代码和各种的payload再认真学习一遍，最后尝试自己写poc和exp。

2.src的挖掘

一直想开始src的挖掘，已经在有有意识的学习了信息收集，各种逻辑漏洞，资产整理了，可是各种事情太多，而且像我这样的笨人还是不要一心多用了，事情得一件件来，慢慢来。

3.php代码审计

虽然已经看完一本php代码审计的书了，可是对于php代码审计的内容还是没有太深的了解，而且对于各种审计案例也没有太多的积累，后面就是做好积累做好笔记。

4.java代码审计

在21年中旬我要完成毕业设计，刚好课题就是java web项目，在学完java web和完成课设后我一定要加深巩固，完成基础的java 代码审计的学习。当然最好的学习方式就像那些大神一样，先去干一段时间的java、前端，我是没有那么大的本事的。

5.python  脚本

其实我前面学东西最大的一个缺点就是不会输出，学完pyhon还有java的基础了，就不想弄了，连一个小工具都没弄过，也没有使用python写过jio本，学了python爬虫也没有去爬过汉服小姐姐，真是失败的人生。

 

四、学习方式：书本+视频+大神+笔记

书本: 书本是一种全面性，完整性的知识整理载体，我认为学习学习就是书本最重要，而且想要深入持久的学习最好还是要实体书。不怕你们笑话我电脑和内存里有几百本电子书，到现在一本没有看完，反倒是那几本实体书看完了，在书里面也做了一些笔记，书不在多，学识不在泛，在于精。当然这只是我个人的学习过程，只是参考作用

视频：视频是老师对于书本内容重点的详细讲解，横向拓展的过程。经过一个视频的学习，就可以明白哪里是书本的重点，一个很小的知识点老师都可以给你拓展出很多有用的知识，而且书本是死的，可能是一段时间的以前的精品，但是绝对没有一个老师好。老师可以从自身的学识底蕴结合时代发展而进行教导，绝对可以让我们学习到更加具有发展前途的知识，

大神：达者为师，达者为大神。任何学习都会遇到难题，所以找到解决办法的途径，最简单的就是找度娘了，各种搜索。然后就是去加几个安全群，里面的人又帅又聪明，又是大神还乐于助人，真是现代楷模啊。找到几个可以长期联系的大神，想办法进入他们的圈子，这就是我以后努力的方向了。或者有条件的话我会选择加入一两个知识星球，跟着巨人走，省事不费力，当然师傅领进门修行靠个人，自己发光吧。一些安全网站和微信公众号也是很值得经常去看的。总结一下，1.加安全群  2.知识星球  3.安全学习网址和微信公众号

笔记：好记性不如烂笔头。当然现在是不需要一笔一划的进行书写了，现在像印象笔记、雨雀等等已经非常流行了。说实话，我的记性不太好，老是忘事有些知识点也是记不牢，所以就很依赖记笔记了。平时要有意识的对零散的知识点记下来，有空下来得抽时间整理，学习。如果真的有些很深刻的知识，或者实验报告发到csdn、freebuff或者tools也很好的，至少在面试的时候可以增加自己的优势，弄得好的话还可以赚点生活费。而且在工作中，有个记笔记的习惯也是很好的，各种任务不至于忘掉。