分享几点关于web安全自学的经验

大家好，我是风，一名非安全专业的大三学生。利用因疫情在家的时间加入了成长平台，终于达到了 100 分的目标。尽管这是小白成长计划，但是一些前向基础知识还是需要的。

下面是我在学习时编写的报告

初识安全是在大一，尽管如此，一路上也是走走停停，最多也是根据 CTF 比赛来进行学习，外加书籍与视频，比赛也未曾获得好的成绩，学习安全的内容非常杂，难以形成体系。有幸认识了信安之路，加入成长平台并达到 100 分，应该也算是初入 Web 安全领域吧。

关于学习方面的经验，我总结了下面几点：

1、多动手，多实践

只是通过看的方式来学习是不够的，关键还在于自己动手实践。估计有一部分人只是通过看来学习，而不自己去动手实践（收藏=学习，逃），然而当我们需要用到相应的知识时会发现无法记起，这就使得学习效率非常低下。

动手实现不仅能够加深我们对知识的记忆，也可以发现我们未曾遇到过的问题，理想情况不是百分百出现的，因此遇到问题也不要轻言放弃，成功地解决问题更有利于我们在实际中的应用。

另外推荐在实践中更加深入的探究。我们不应该只是实现了就完事了，对于在这个过程中发现的不懂的地方，最好能够深入探究其中的原理，这样我们知其然亦知其所以然。例如在学习 SQL 注入时，我们会学到用一个什么样语句去注入（如：select 1 from (select count(*),concat(((select flag_test from flag limit 0,1)),floor(rand(0)*2))x from information_schema.tables group by x)a;），但只有深入理解这条语句中背后的逻辑，我们才能够自己写出需要的语句。

2、记录整理与回顾

大家都知道艾宾浩斯遗忘曲线，因此不要学习一遍就过了，我们可以通过如 CTF 比赛或靶场等类似的地方进行练习，这样可以测试自己对知识的掌握程度，回顾并加深自己的记忆，也可以扩展知识面。对于所学的知识和遇到的问题，可以用笔记记下来，这样在以后需要用到的时候直接看笔记即可，也就不需要重新上网查找。

成长平台上提交报告后还可以看到别人的报告，这样我们可以通过参考别人的报告来补足自己。另外，需要对笔记进行分类整理，不然当笔记多的时候去查找非常困难。

3、保持良好的学习状态

在自身状态不好的时候就不要再去强迫自己学习了，这样会使得学习效率非常低下（不知道有没有人在犯困时学习，结果越学越想睡的经历），建议状态不好的时候去休息一下或者放松。

4、利用好已有的学习资源

搜索引擎是个好东西，关键在于是否会用，很多情况下我们遇到的问题都可以通过搜索引擎解决（Google 大法），所以能通过搜索引擎解决的也就不需要去问别人了，博客、文章、视频与书籍都是获取知识的好途径。

最后祝大家在安全这条路上越走越远！