分享从零开始到入行渗透测试工程师3年的经验总结_跨专业学渗透测试工程师

由于从小影视剧的影响，对黑客有着不一样的感觉，到了大学无意中了解到了网络安全行业，从此就走上了安全这条路。从开始小白的到如今进入安全行业的这3年，回想过去，其实还是挺难的。

不知道你有没有过这种状态：

“什么都会一点，但什么都不精通”？

记得上大学的时候，我特别喜欢网络安全，但是自己本身也不是安全专业的，从零开始不知从何下手，于是在不少大佬的指点下学一点python、学一点php、又学一点……

对于每一项的掌握都只浮于表面，无法达到专业或精通的地步。

我之前并没有觉得这种状态有什么不好，甚至感觉自己什么都会一点，在未来的工作当中会成为我的优势！

直到步入社会进入职场吃了几次亏，我才惊觉这种状态是错误的：

对于目前安全行业普遍缺人的情况下，很多岗位的招聘需求其实并不难， 但是仍然有不少人倒在面试当中，并且在一次次的面试当中开始迷茫了。

可是，又有人会问：“面试时，我都知道个大概，为什么还是过不了面试呢？或者我究竟应该学习并强化些什么呢？”

其实原因就是：

1.你是否开始就走错了方向呢？

2.为什么总是说挖不到漏洞呢？ 因为你并不具备渗透的思维以及丰富的实操能力，就目前而言，大部分个人自学网络安全并没有相应的详细学习资料以及相关硬件的匹配。

因此我总结了一下自学过程中，新手常见的两项自学误区来帮助大家：

1、以编程基础为方向的自学误区。

行为：从编程开始掌握，前端后端、通信协议、什么都学。

缺点：花费时间太长、实际向安全过渡后可用到的关键知识并不多。很多安全函数知识甚至名词都不了解

2、以黑客技能、兴趣为方向的自学误区：

行为：疯狂搜索安全教程、加入各种小圈子，逢资源就下，逢视频就看，只要是黑客相关的。

缺点： 就算在考虑资源质量后的情况下，能学习到的知识点也非常分散，重复性极强。代码看不懂、讲解听不明白，一知半解的情况时而发生。

在花费大量时间明白后，才发现这个视频讲的内容其实和自己看的其他知识点是一样的。

那么如何快速有效的入门呢？

如果你是零基础，对挖漏洞和漏洞利用一知半解，可以看看这条规划路线从零基础 → 黑客大咖 的体系化学习体系 。

零基础新手的第一步应该是：
Web前后端基础与服务器通信原理的了解。（所指前后端：H5、JS、PHP、SQL，服务器指：WinServer、Nginx、Apache等）

第二步：当下主流漏洞的原理与利用

此时才应该是SQL、XSS、CSRF等主流漏洞的原理与利用学习。

第三步：当下主流漏洞的挖掘与审计复现

学习前人所挖0day的思路，并且复现，尝试相同审计

这三步学习法，足够新手入门到小成了。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里