安全初学者这 3 点一定不可取

好久没发文章了，近期各大公司开启了远程办公，感觉比去公司上班还累，因为没有上下班的时间界限，晚上睡觉都在思考工作的内容，几乎每天都睡不实在，希望疫情尽快结束吧，这期间吃不好、睡不好、身体也越来越不好，早日脱离苦海，一切恢复正常吧。

这段时间大家都蜗居在家，大家都大把时间看书学习，也看到一些小伙伴为了学习去拜师学艺、参加线上线下培训，想要提升能力，走上升职加薪、迎娶白富美的道路。所以今天就来聊聊安全初学者的通病，能够克服这三点，你一定可以成为圈子里的佼佼者，从大众中脱颖而出。

1、急功近利

我进入安全行业之处也存在同样的问题和诱惑，比如当时的乌云排行榜，看着大佬们挖洞那么容易，自己也一定会想，我怎么就可以成为猪猪侠一样的人物，稳居乌云 rank 排行榜的榜首；比如各大 CTF 的比赛，别人团队突破那么多题目，我咋只能做个签到题呢？比如各种黑客大会，大佬们展示自己挖到的 0day 漏洞，什么浏览器、什么路由器、什么系统漏洞这些 CVE 编号，我咋不行呢？

安全圈也是个江湖，有江湖的地方就会有排行榜，就会有大佬和菜鸟，每一个菜鸟都想成为大佬，如何成为大佬就是菜鸟们最关注的问题。所以就涌现出好多的安全培训班，各种吸引人的广告，比如：一次付费终身学习、什么一个月包就业、什么两个月月薪达两万、什么加入培训送 0day 之类的，一群不明真相的韭菜纷纷上头，期望可以通过培训成为大佬，脱离菜鸟的队伍。

进入安全行业也快十年了，从来没有见过因为参加培训成为大佬的，也没见过哪个大佬是通过培训达到现在的成就。不能说培训无用，培训和安全数据的作用一样，能提供的是学习的参考，给你提供学习路径和方向，并不能直接让你成为大佬，基础一定是自己努力后的结果，而非靠别人培训就可以的。

大家从小就听过拔苗助长的故事，靠外力去让你快速成长，只会让你根基不稳，虽然学了很多花拳绣腿的东西，真正实战的时候，根本无法解决问题，试用期都过不了就被辞退，培训机构会为你负责吗？最后还是靠自己扎实的学习，解决的问题的能力在社会立足。

所以急功近利的心态一定不能有，别人的成功不是一朝一夕的事情，猪猪侠给你上一课，你不肯跟成为第二个猪猪侠，踏踏实实的学习，安全相关的基础不能丢，选择安全培训要慎重，想清楚自己选择培训的目的是啥，先试听再决定是否加入，毕竟钱难赚，父母的钱更不易，且用且珍惜。

2、眼高手低

安全圈算是互联网里比较小的一个群里，这个群体在用户眼里还是很神秘的，比如大家都知道黑客、病毒这类词语，对于安全从业者的认识也是从新闻中一些 xxx 黑客入侵了 xxx、哪些电脑中了 xxx 病毒，电脑卡、文件被锁等等，在圈子里，存在一个顺口溜：唬的住 50k、唬不住 5k，解释一下就是在找安全工作的时候，面试好了可以要50k，面试不好可以要5k，说明安全行业没有一个好的标准去评判一个人的能力水平，公司企业懂安全的人也比较少，大量的面试官是没有能力识别安全人员的水平到底怎么样的。

为什么会说眼高手低呢？因为面试主要看聊的怎么样，往往你看的资料多，啥都说一说，就能唬住大量的面试官，不可能让你实战去搞一个网站，人都是趋于懒惰的，能不动手尽量不动手，能看懂技术文章就认为自己会了，而不去亲自实践，这也是大量的安全初学者喜欢看视频学习的原因，讲师在视频里搭建环境，测试教学，学员看完就觉得学会了，自己并不会去实践，然而这种学习方式是非常不可取的，一方面记忆是个问题，用不了多久就忘了，另一方面在自己解决问题的时候，遇到问题发现一脸懵逼，老师就是这么操作的，为啥我会有问题呢？最后还是要自己去研究原理，或者主动搜索解决办法，解决前辈的经验。

技术不是理论，看一看就行，技术对于动手能力的要求是非常关键的，理论指导实践，没有理论你就没有方向，没有技术你没法解决实际问题，我们作为安全技术的人才，实践动手能力不可缺，能动手就不要光看，别人说的不一定对，相信自己的操作，一定要实操验证，不能人云亦云，真理是实践出来的。

3、三心二意

最近一个小伙伴问题，自己在学 web 安全，看到很多公众号在发内网渗透的技术和文章，又觉得自己内网方面啥都不会，很焦虑，这就是三心二意惹的祸，吃的碗里看着锅里，在安全初学的时候一定要专注，先把一个领域研究透了，再去扩展其他方面，由浅入深的学习方法是可以复用的，一个方面学深，另一个方向再去学的时候会事半功倍，很容易做好。

安全行业的细分领域太多，每两年就会出一个新的概念，从最开始的渗透测试、web 安全，内网渗透到现在的红蓝对抗、威胁情报、移动安全、代码审计、态势感知等，对于安全初学者而言，最有吸引力的还是渗透和红蓝对抗，因为这两个方向是攻击领域的，也是突破权限最有成就感的事情，研究的技术都是最新最有用的，是走在安全技术的前沿的，也是学习和研究人数最多的。

在初学安全的时候，一定会经受各种各样的诱惑，时间和精力是有限的，如今的人才标准是丁字型的人才，在一个方向深扎下去，可以体现自己的能力，然后扩展知识面，可以在多个领域发挥自己的作用，这样的人才是所有公司都想要的人才。

总结

关于学习这个事儿，每个人都有自己想法，没有一个通用的学习方法适合所有的人，我们能做的就是分享自己的一些想法和经验，希望可以帮助一些目前正在面临一些选择和迷茫的同学，如今加入信安之路核心群的小伙伴也有一百多位了，这些人有一个共同的特点就是自学能力强，踏实肯学，努力进取，虽然群里没人说话，但是我相信大家都在努力成长，为安全圈做自己力所能力的事情，成就自己的同时帮助他人。

最后希望疫情早点过去，还我们一个自由美好的社会，希望每一个安全从业者踏实进取，多做一些有价值的事情，互帮互助，互相成就，合作共赢，信安之路欢迎你来分享自己的学习经验和技术研究，共勉！