为了圆梦黑客，大学四年自学计算机总结的经验全部无偿分享

为了圆梦黑客，大学四年自学计算机总结的经验全部无偿分享

毕业参加工作这几年，在不同的公司遇到过不同的团队，也认识了许多不同的人。

身边的同事经常问我：“你成都的啊，川大还是电子科大？”

每当这个时候，我就很尴尬了，心里问对方一句：难道只有985和211才算大学嘛？

笔者高考遭遇滑铁卢，只去了一个普通学校，学的也不是计算机专业，而是一个偏硬件的：通信工程。

我自小农村长大，从小就被父母严格家教管理，所以直到高三，我也没玩过几次电脑，没上过几次网。

也因为这个原因，高考选择专业时，认为自己对计算机专业一窍不通，最后也是听人推荐随便选了个通信工程。

没想到几年后，兜兜转转半天还是走上了计算机之路。

这篇文章就给大家说一下：我的大学四年自学总结的学习笔记和经验…

大一
大学那几年，都流行考证，也不管这个证考来有没有用，考来干嘛，反正别人考，跟着考就对了！

大一的第一个学期，我们非计算机专业的同学流行考计算机二级证书，说是以后毕业找工作加分项，我也没有免俗，跟着交钱去学吧。

那时候也不知道计算机二级证书是什么，要学哪些东西，没想到学校统一报名学的竟然是个早已作古了的数据库编程语言：Visual FoxPro。

不过，第一次接触计算机编程，还是很兴奋的，从表的字段、结构到SQL语言，然后到程序设计的循环、分支、函数等等基础概念的第一次接触，都在当时一张白纸的我脑子里留下了深深的印象。

虽然这门语言早已过时，但是有一说一，这位老师是讲的真好，可以算是大学四年里我认为单纯教学能力上最出色的老师！没有之一。

通过这个计算机二级的考试，算是正式点燃了我对计算机和编程的兴趣。考完了计算机二级之后，我没有停下，继续用这个VFP自己做了一些程序，各种XX管理系统。

那时候刚刚进入大一下学期，开始教授C语言了，我却没有意识到这门课的重要性，还在研究VFP的高级用法。直到当我拿着写出来的软件给网友晒的时候，却被泼了一盆冷水：这年头谁还用这语言啊，连C语言都不会吗？就这？

那时候开始，我开始调整精力，开始全面学习C语言。

不过，大学老师讲的太水了，用现在的话讲，就是一个只会照着PPT念的机器人，上课让人昏昏欲睡。和之前教计算机二级的老师教学能力，相差甚远。

我很快意识到，想靠上课来学C语言多半是没戏，这进度也忒慢了。

与此同时，我还意识到一个更重要的问题：我的通信工程专业，以学校的平台和师资，如果想走硬件路线，太难出头了，不是不能，是太难了。而如果走软件路线，则要容易得多。也就是在大一的下学期，我正式下了决断：学软件！

我开始尝试自学，很多跟计算机关系不大的课程，能不去就不去，自己看书学习，期末考试确保不挂科就行。

但是编程这东西，三分靠看书，七分靠实践，得要上机练习才行！实验课每周次数有限，不能做到随时想练就练。后来打听到学校有个学生活动中心可以上网，还特便宜。于是我开始每天往返于学生活动中心，在那里度过了一个多月，把C语言这门课本上的东西算学完了。

当时的教材是著名的清华大学谭浩强老师编写的《C程序设计》，书中只是一些C语言基本的语法介绍，一个月后学完感觉这东西好像没啥用，都是在一些黑乎乎的窗口写一点数学运算之类的题目，实用性不高啊。

身边有高年级的师兄告诉我：“光学这个不行，你得去做点实战项目，去图书馆找几本书吧！跟着练”

于是，我又去学校的图书馆，找了几本书。拿回来一看，里面出现了好多不认识东西，一问才知道，我拿的是C++的书。

虽然不知道C++是什么，但听说下学期也要学这个，索性我就提前学了。

书是有了，但电脑的问题却日益严重，去学生活动中心电脑室上网也不是个长久之计，有时候去晚了根本没位置，而且距离宿舍也不近，来回挺折腾的。而买新的电脑，动辄就是几千块，我一个穷小子实在负担不起，也开不了口向家里要。后来，我在淘宝上淘到了一个二手笔记本电脑，五百多块拿下了，虽然慢的要命，但好过没有。于是我开始在这台电脑上正式开启了我的C/C++编程之路。

大一的下学期，还有一件事，就是计算机的一门基础课：计算机网络。

这门课和C语言是同一个老师，同样的PPT走马观花，同样的让人昏昏欲睡。

但是偶然一次路过，发现隔壁班的计算机网络是当初教计算机二级的老师在上课，我和两个小伙伴就一起溜进去蹭课，这一蹭不要紧，一下就上了瘾。

这位老师风格独立，根本不用学校发的教材，而是自己编写了一套PPT，从最底层的原理讲起，从通信的编码校验，到局域网的802.3、802.4、802.5等技术演进，用生动有趣到生活实例告诉我们什么是CSMA/CD，听得我们如痴如醉。我现在写的很多故事性的文章，一定程度上都有这位老师的影响。

在我们几个的口口相传下，我们班在上计算机网络课时，门可罗雀，而隔壁班人却越来越多，不知道我们的计算机网络老师看到后心里有何感想。

大一这一年，是迷茫中寻找方向的一年。

大二
买来的二手电脑终究经不起我的折腾，才用了半年左右就出现各种毛病。大二上学期的国庆节回到老家，跟奶奶聊起了学校的经历和日常。奶奶听后二话没说，拿出了四千块钱给我，让我去买电脑。我是又喜又愧，喜的是可以换新电脑了，愧的是我知道这四千块钱对她来说有多么不容易。奶奶说，等我以后挣钱了再还她就是了，可快十年过去了，我还没还，奶奶却不记得这事了。

言归正传，换上了新的电脑，得更努力的学习才行。

大二这一年，加入了学校一个研究所，跟着老师还有师兄师姐们一起做项目，这一年是收获的一年。

进入研究所的第一件事，就是一个跟网络数据包打交道的项目。

印象最深的是，第一次看到了网络数据包长的是什么样的。之前学计算机网络时，总把数据包挂在嘴边，什么TCP/IP几层协议，张口就来，却连真正的数据包都没见过。

学习计算机网络，一定得抓个包来看看，看看课本里的一层层协议，一个个字段，在网络中真实的样子。这里推荐两个抓包软件：

专业人士：wireshark

如果是新手小白，Wireshark纯英文版用起来有一定门槛，推荐一个国产软件：

科来网络分析系统

中文界面操作起来更简便易懂。

这段日子，是编程能力快速提升的时期，之前都是自己跟着书瞎练习，现在有了过来人指导，避免了很多弯路。

记得研究所老师说过一句话：什么时候觉得自己编程能力入门了？就是当你能够独自编写超过1万行代码软件的时候。

进入研究所之前，自己写的软件，每个工程也就一两千行代码的水平。而接触真实的项目后，一下就被十几万行代码的巨大工程震撼到了，由衷的佩服师兄们是怎么完成这么浩大的工程的。

那时候，研究所项目很多都是VC++开发，虽然经过自学有了C++的基础，但一下接触VC++，还是来的有点猛。于是乎，开始各种找资料补课学习。

后来在网上找到了一个叫孙鑫老师的《深入VC++详解》的视频，共计二十堂课，讲的全是干货，真的是深入浅出，很快靠着这个视频算是入了门，终于初步具备开发项目的能力。

这个时期，跟着几本VC++实战教程，做了几个软件项目，不得不说，实在比VFP难多了。

学了网络编程，做了一个网络聊天软件，在寝室局域网中用来跟室友聊天。

为学校的信息安全比赛，开发了一个监控软件，可以同时监控多个人的电脑桌面。

还写了一个Web服务器，第一次独自开发超过了3万行代码。

大二这一年，是找到方向后快速成长的一年。

大三
经过大二一年的学习，算是从计算机小白，变成了一个有一些编程能力的“老司机”。

大三上学期，研究所来了一位新的师兄，师兄是计算机学院正统软件工程专业出身，不像我们几个东拼西凑学来的，一进来就给我们带来了全新的冲击。但这个冲击，是正面的。

科班出身就是不一样，软件工程理论、设计模式、Java技术栈，这些东西，都是我之前靠自学从未接触过的东西。

知道落后不可怕，不知道自己落后才可怕。直到大三才第一次有了一个意识：不要把目光局限在研究所，局限在学校这个小小的空间，该睁开眼去看看外面的世界，看看社会上公司里现在都用什么技术。

那时，我才发现，我一直洋洋自得的VC++编程技术，早已走过了它的巅峰时期，现在是Java和Linux的天下，是时候该学一些新东西了。

可能是先入为主，也可能是年少轻狂，我和Java的第一次相遇很快就结束了，初步了解之后觉得一个靠虚拟机运行的语言怎么能比得上C++？我当时竟然诞生了这样的想法，遗憾的与Java擦肩而过。直到多年后毕业工作，才重新学Java，真想捶扁当时的自己。

反倒是Linux，越学越有劲，从一开始接触命令行时战战兢兢，每做一个操作都要百度搜索，到后来对命令操作爱不释手。

后来不满足于表面的应用，在淘宝上淘了一本盗版的 《深入Linux内核架构》，开始琢磨起这个神奇的操作系统来。

因为并非计算机专业，所以并没有系统的学习操作系统这门课程，反而是先看了《Windows内核原理与实现》和《深入Linux内核架构》这两本具体写两个操作系统内核的书之后，才转过头去看操作系统原理这门课程。

有了这两本书的铺垫，再看操作系统，竟是如此的丝滑和顺畅。每次看到操作系统原理中的理论章节，就能浮现出Windows和Linux在这个理论上具体实现的异同之处。相反，如果一开始先看纯理论，很可能不会有这么深刻的认识。

大三的这一年，是开拓视野和眼界的一年。

大四
大四的主题，每个人都知道，那就是：找工作。

确实如此，其实从大三下学期开始，我们研究所的小伙伴们就开始关注秋招了。

那几年，还不流行刷leetcode，倒是流行看一个系列的书：《程序员面试宝典》。不看不知道，一看吓一跳，我们这东拼西凑学来的，毕竟不够系统，基础知识不扎实，很多题目都不会做。

大三结束的那个暑假，开始疯狂补课，尤其是下面几个重点方向：

C/C++编程基础
计算机网络
操作系统
数据结构与算法
这些知识，平时多多少少有接触或用到，但从未有机会系统全面的梳理过。在这个暑假，一边做题，一边看书，突然找到了一点高考的感觉，因为我们知道，9月份就要开始的秋招大戏，对我们而言，那就是一场高考。

临近9月，开始在网上开始各种搜索往届各大公司的笔试面试题，看别人的面经贴，学习经验。

不过这还是不够，为了更加真实的锻炼自己，在8月份的时候，我在网上找了几家公司投了简历，去真实的面试几次。

投简历的目的，不在于是真正想去这家公司，而是想通过这样的实战面试，锻炼自己不怯场的胆量，毕竟在象牙塔里长大的我们真正走出社会，还是有一些障碍需要去跨越。

试了有四五家公司，在过程中不断发现自己的问题，包括技术上的问题和交流沟通表达上的问题。你还别说，这一招还真管用，越到后面自己越发自信，一开始连自我介绍都说不利索，到后面都能够流畅表达脱口而出。

好在功夫不负有心人，技术上查漏补缺，面试经验也积累了一些，在秋招正式开始不久，我就收获了心怡的offer，总算可以为自己的大学四年交上一份合格的答卷了。

经验谈
我的大学四年自学过程，总结了几条经验，供大家参考：

非科班没关系，只要想学，就有希望。
基础知识很重要，别只做项目，忽略基础。
别闷头自学，多听听别人的意见，但也别光听一家之言，兼听则明，偏听则暗。
找一群志同道合的小伙伴，互相鼓励，一起学习，共同进步。
及时关注外面的世界，不要局限在自己的小圈子里。
理论与实践结合，多走出去，树立自己的自信心。
最后，给大家推荐一些，在自学历程中我自己看过，且有必要推荐给你们看的书。

学习资源分享
如果你想真正在网络安全这个行业深耕下去，简单列举一下书单中的内容，如果大家有什么比较好的想法，欢迎评论区交流！

推荐书籍

入门

《白帽子讲Web安全》 2012
《Web安全深度剖析》2015
《Web安全攻防 渗透测试实战指南》2018
进阶

《WEB之困-现代WEB应用安全指南》 2013
《内网安全攻防渗透测试安全指南》 2020
《Metasploit渗透测试魔鬼训练营》2013
《SQL注入攻击与防御》2010
《黑客攻防技术宝典-Web实战篇（第2版）》

推荐网站

Web安全学习笔记

安全词汇 RFC-4949

接下来开始学习，理论并非纯理论，也有靶机攻击举例，实战一般使用离线或线上靶机。

在线靶场

国钧CTF

BUUCTF

bugku

网络信息安全攻防平台

网安基础

web安全必备：

网络安全-php安全知识点

网络安全-WEB中的常见编码

跨域请求-jsonp和cors

学xss注入时再看也可：

网络安全-js安全知识点与XSS常用payloads

学sql注入时再看也可：

网络安全-Mysql注入知识点

漏洞排行：

OWASP TOP 10

XSS攻击
----------------------------------理论----------------------------------

网络安全-跨站脚本攻击(XSS)自学笔记

网络安全-XSStrike中文手册（自学笔记）

---------------------------------实战-----------------------------------

靶机：dvwa

网络安全-靶机dvwa之XSS注入Low到High详解（含代码分析）

靶机：pikachu

网络安全-靶机pikachu之xss注入与代码分析（XSStrike实战）

靶机:xssplatform

CSRF漏洞
----------------------------------理论与实战----------------------------------

网络安全-跨站请求伪造（CSRF）的原理、攻击及防御

劫持攻击
点击劫持
----------------------------------理论----------------------------------

网络安全-点击劫持（ClickJacking）的原理、攻击及防御

SSRF漏洞
-----------------------------理论及实战--------------------------------

网络安全-SSRF漏洞原理、攻击与防御

文件包含漏洞
-----------------------------理论及实战--------------------------------

网络安全-文件包含漏洞原理、攻击及防御

文件上传漏洞
-----------------------------理论及实战--------------------------------

网络安全-文件上传漏洞的原理、攻击与防御

XXE漏洞
-----------------------------理论及实战--------------------------------

网络安全-XXE（XML外部实体注入）原理、攻击及防御

WebShell
网络安全-webshell详解（原理、攻击、检测与防御）

解析安全
RCE漏洞
----------------------------------理论----------------------------------

网络安全-RCE（远程命令执行）漏洞原理、攻击与防御

SQL注入漏洞
----------------------------------理论----------------------------------

网络安全-SQL注入原理及防御SQL注入

网络安全-sqlmap学习笔记

网络安全-sqlmap注意项及高级使用

---------------------------------实战-----------------------------------

靶机:dvwa

网络安全-靶机dvwa之sql注入Low到High详解（含代码分析）

靶机：sqlilabs

sqlmap实战之sqlilabs-Less1

Less2差不多，整型参数错误，sql语句为 SELECT * FROM users WHERE id=$id LIMIT 0,1

网络安全-sqlmap实战之sqlilabs-Less3

网络安全-sqlmap实战之sqlilabs-Less4

网络安全-sqlmap实战之sqlilabs-Less5

网络安全-sqlmap实战之sqlilabs-Less6

网络安全-sqlmap实战之sqlilabs-Less8

网络安全-sqlmap实战之sqlilabs-Less9

网络安全-sqlmap实战之sqlilabs-Less11

网络安全-sqlmap实战之sqlilabs-Less12

网络安全-sqlmap实战之sqlilabs-Less13

反序列化漏洞
----------------------------------理论与实战--------------------------------------

网络安全-反序列化漏洞简介、攻击与防御

条件竞争
网络安全-条件竞争（《CTF特训营》第7章复现）

CTF-【NSCTF 2015】WEB11 条件竞争

通信安全
----------------------------------理论与实战--------------------------------------

应用层
网络-http协议学习笔记（消息结构、请求方法、状态码等）

网络-https协议学习笔记（SSL、TLS、CA、抓包与修改）

网络-Telnet协议与SSH协议（命令、免密登录）及其安全性

网络-DNS域名系统详解与DNS攻击

传输层
网络-UDP协议详解（代码、实战）

网络-TCP协议详解自学笔记（例题、代码、实战）

网络层
网络-IP协议详解（报文格式、分类、NAT、子网、CIDR、抓包分析）

网络-ICMP协议、Ping命令实现与ICMP攻击

网络-ARP协议详解与ARP欺骗（中毒）攻击实战

-----------------------------------实战-------------------------------------

网络安全-scapy学习笔记

网络安全-python脚本资源整理

身份认证与访问控制
弱口令爆破
----------------------------------理论----------------------------------

github 字典整理
————————————————

网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资源分享

全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

[外链图片转存中…(img-n4iU0hh8-1696935239477)]

第二阶段：Web渗透（初级网安工程师）

[外链图片转存中…(img-E83YWkzT-1696935239478)]

第三阶段：进阶部分（中级网络安全工程师）

[外链图片转存中…(img-fbIpMYc0-1696935239478)]

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资源分享

[外链图片转存中…(img-nOVI9foZ-1696935239479)]

## 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！