近期学习 web 安全的一些经验分享

本文作者：the-wind（信安之路成长平台成员）

大家好，我是无风，目前是广州信息安全专业大三在读学生。利用春节假期在此总结一下近半年来在信安之路成长平台的学习。

虽然我是信息安全专业的学生，但大一大二都在忙别的事情，真正接触安全的学习是在 2019 年的暑假。学校的培养计划里关于信息安全的技术知识实在太少，大一大二学编程语言、信息安全数学基础、信息安全的概论等等一些比较简单的知识。等到大二结束的暑假自己终于有紧张感了，想要自己着手学习，从 web 安全入门。但因为没有加入工作室也没有钱报培训班，自己就像一只无头苍蝇一样，不知道怎么开始学，学什么......

我从安装 linux 的虚拟机开始，linux 命令学一下，提权学一下，没有章法地乱学。学了忘，忘了学，学了还得忘! 主要是因为没有系统地开始学习。这样混乱地学了一段时间后，意识到在做无用功后，我花了几十块钱在网易云课堂上买了几节 web 安全的课程，相对之前的学习来讲有了稍微系统一些的学习，也学到了一些有用的基础知识。因为在学习过程中总是会遇到各种各样的问题，需要请教前辈，于是我开始混迹于贴吧、QQ 群、博客、微信公众号等等平台。也因此我遇到了信安之路，在我接触的学习渠道中，信安之路公众号的推文质量是比较高的。后来群主拉起了一个 QQ 群，群里面的都是大佬，说话又好听，我超喜欢的哈哈哈哈

到 2019 年 8 月的时候，群主发起了信息安全小白成长计划，我抓住机会积极报名！从此开始系统地学习安全的相关知识。群主每周给我们发布学习任务，我们完成学习完并且写好总结上传后就算完成一周的任务了。学习真的需要一条主脉络，不然就会像无头苍蝇一样找不着方向，很快就失去学习的兴趣和动力。

下面是我写的一些学习报告，已经发布到自己的博客，如图：

下面总结一下我自己的自学经验吧

1.先确定自己的学习方向

我学习安全是从 web 安全开始学起的，因为 web 安全相对比较简单。确定方向之后，给自己制定一个学习计划或者学习主线，或者像我一样跟着跟着大家一起学。因为信息安全需要学习的东西非常之多，没有方向地学的话很快就会疲倦，甚至感觉自己一无所获。只有确定了自己的方向后，一步一个脚印，才能看到自己的进步，自己对自己心里有底。

2.多做笔记

学习的时候要注意做笔记，我们需要学习的东西非常多，有时学完就忘是很正常的事情。这时候做笔记就显得很重要了。让自己养成写博客的习惯，这可以记录你的成长过程，有时自己忘记了一些知识点的时候可以翻看自己写的博客，比在网上搜索会快得多。除此之外，学习完一个知识点后写博客也是有成就感的事情，能激发自己的学习兴趣。缺点就是写博客可能会有点耗费时间，但完全可以接受。

3.多动手实践

在学习安全技术的时候，只看文章是很难理解记忆的。我们可以多动手实践，比如做 CTF 的一些练习题，自己搭建靶场针对训练。自己搭建靶场还可以提高自己的代码审计能力，有助于学习 PHP 以及服务器的知识。缺点依然是比较耗费时间，相对于直接利用现成的靶场训练。

刷靶场还可以让自己掌握很多工具的使用方法，这些工具可以收集整理起来，还可以把工具的使用方法写成博客，这样做笔记有助于加深印象。

4.学会提问的艺术

我们在学习的过程中总会遇到难题，当我们遇到难题的时候首先要自己在百度或者谷歌等搜索引擎里搜索，在别人的博客里找类似的问题和解决方法。不能解决的话看书看文章学习有关的知识，实在不能解决的话再在论坛上、QQ 群里请教大佬。请教的时候要把问题描述清楚，注意礼貌等等。网上有文章《提问的艺术》，可以自己找来看一看。

总而言之就是要不断地学习，要有对自己的约束力。也要注意劳逸结合，毕竟人的精力是有限的。暂时能想到的就这么多了。祝大家学有所成！