回想学习网络安全一年来，踩了不少坑走了不少弯路，在此稍作总结，希望可以帮助那些想要入门 web 安全或者是想打CTF的同学们一些建议

坑点

先总结一下，我在学习中遇到的坑点

1. 只看视频，眼高手低，不练习，不总结

2. 资源收集松鼠病，天真以为收藏即学会，别氪金开了百度云还是存的满满当当，其实想学啥一个b站的事儿，毕竟众所周知b站可是学习的地方，咳咳，该收藏的还是要收藏（明示本篇）

3. 天天水群，知识没学到，黑话学了一大堆，终究还是百度

   

建议

1. 多向学长学姐请教（请教前先了解一下提问的艺术），不要死钻牛角尖，特别是刚入门啥都不了解，可能你研究好几天的东西，就是一句话的事，比如环境搭建就是入门学习难点，而docker就可以解决大部分环境搭建的痛点
2. 加入一个安全团队，看看那些大牛们在学什么，即使进不了也可以刷一波面试经验
3. 勤动手，多敲代码，多练习，记笔记，这个是最最重要的，人的记忆力是有限的，很久不看必然要忘，自己写笔记既是为了学的时候加深印象，也是为了快速复习，温故知新。可以自己搭建一个博客，或者是注册CSDN、博客园啥的，把笔记分享上去，这些都是学习的正向反馈，是激励自己学习下去的动力
4. 学到啥程度算是学会了，你能把别人讲明白就算，给别人讲问题既能自我知识总结归纳，又能加深印象，所谓：知识不再入，再在出
5. 如果是学习某一种语言，可以在学的差不多的时候，做一点项目，当做出成果你会特别的骄傲，我之前学flask的时候就做了一个网站，能感觉出当时的学习动力是真的足
6. 培养自己的自学能力，没有大佬是几天就能学会的，大佬们都是学到凌晨，可能这就是大佬发型总是瞩目的原因吧，况且网络安全知识点错综复杂，计算机是日新月异，要是往深了研究足以付出终身
7. 关注网络安全赛事，如初：Defcon，GeekPwn啥的，培养兴趣，兴趣才是最好的老师嘛
8. 多关注一些大牛的公众号，b站号啥的，我推荐一些吧

• 论坛：

  1. 吾爱破解

  2. 看学论坛

  3. 安全客

  4. 先知社区

  5. FreeBuf

  厉害的大佬有好的文章可以发到这些论坛里，既是一个学习的正向反馈，还能赚点小钱钱

• 公众号：

  1. 渗透云笔记

     不定期发一些资源

  2. 道哥的黑板报

     对就是阿里的道哥，白帽子讲web安全作者，他的公众号在沉寂了好久之后最近也是在更新

  3. 谢公子学安全

     谢公子的公众号

  4. 代码审计

     p神的公众号，java代码审计内容比较多，有小钱钱的同学可以加一下p神的小蜜圈，永久有效，这应该是最实在的小蜜圈了

  5. 山警网络空间安全与电子数据取证

     学校社团公众号，内容主要是CTF

  6. 教父爱分享

     不定期发资源，我也近了教父的群了，还是挺值的

  7. 乌云安全

     不定期会发资源，收费的不用买，不用买，不用买

• b站：

  1. CodeSheep

     程序员UP，非常的接地气，内容：Java和C以及一些经验啥的

  2. 漏洞银行、DeeLMind

     不定期邀请大佬来做客分享知识

  3. 星盟安全团队、涅普科技、Gcow安全团队

web 学习路线

web安全学习路线可以分为两种：

1. 先学基础，在转安全
2. 边学安全，边补基础

对于安全新人来说还是推荐第二种学习方法，边学漏洞的原理，边补基础，比如说在学xss漏洞，就可以去学一学JavaScript的知识

可以按照下面这个步骤去进行

第一阶段

• web漏洞

  1. SQL注入

     进而学习sql语句，各种不同的数据库

  2. CSRF漏洞

     进而学习cookie和session机制

  3. XSS

     进而学习javas

  4. 命令执行

     进而学习linux，bash、cmd命令

  5. 文件上传，文件包含

     了解不同的建站语言后缀，后台逻辑

  6. SSRF

  7. 逻辑漏洞

  8. 等其他web漏洞

• 编程语言

  Python、php可以一块学，前期不用太深入，和web漏洞原理一块学

• 了解web技术栈

  1. 计算机网络（http、tcp/ip）
  2. 中间件
  3. 数据库
  4. 操作系统

第二阶段

• web安全

  1. 漏洞挖掘
  2. 代码审计
  3. 提权
  4. 内网渗透
  5. 社工

• 编程语言

  没错还是要学语言，一个好的程序员不一定是一个好的安全人员，但一个好的安全人员一定是一个好的程序员

• 深入web技术栈

  1. 后端语言（java，php，python）
  2. 后端框架（Spring，ThinkPHP，Django）

推荐一些web安全的书

1. 《web安全深度剖析》
2. 《白帽子讲web安全》
3. 《图解HTTP》
4. 《代码审计企业级web安全框架》
5. 《精通Metasploit渗透测试》
6. 《Web安全攻防：渗透测试实战指南》
7. 《web攻防之业务安全实战指南》
8. 《web前端技术揭秘》

优先级从上往下吧，书读多了，懂得自然多，但是写书上的知识必然也有点旧了，还是要紧跟时事，多看一些文章

够不够，孩子?够不够?够不够孩子，虚假的ctf选手苦苦

最后推荐两本书，这两本书都是很牛的ctf战队出的

1. Nu1l战队的：0到1:CTFer成长之路
2. FlappyPig战队：CTF特训营

对于没有计算机基础或者是跨专业的同学来说学习网络安全可能有点压力，但计算机是众所周知的大杂烩专业，有很多大牛都是跨专业，比如妇科圣手们，只要坚持学习一定可以成为大佬

这些分享给你们，同时也是说给自己，最后，没有伞的孩子要学会奔跑，冲出舒适区，加油冲冲冲