學習網路安全時遇到瓶頸了該怎麼辦？

01-08

基礎的那些sql，xss，csrf那些基本的都會了，但是想更進一步，不知道該怎麼辦了，有點迷茫，然後我就開始學習python和php，但是，學了一個月，回想一下，發現現在連一個小的腳本都不會寫，應聘公司想以實習的目的去學習（ps：中專畢業的渣渣），沒有上大學是不是很難應聘公司啊，請大神指點我一下，謝謝

從事任何方向的技術研究，不知道該幹什麼的時候，就問自己四個問題：

?這個方向上最新進展是什麼？都知道嗎？

?這個方向上最著名的專家有哪些？他們的研究都看過嗎？

?這個方向上最著名的技術社區有哪些？精華帖都看過一遍嗎？

?這個方向上最重要的文章、工具有哪些？文章都看過嗎？工具都分析過嗎？

不是你遇到瓶頸了，而是你潛意識覺得某些東西都沒用。

比如你上面說到的：

php：你潛意識覺得你是做信安的，php能看懂代碼就行了，沒必要深入研究，仔細想想，安全的目的是什麼吧，讓你去用你的技術攻擊還是讓你用你的技術去修復

python：感覺自己不會寫腳本？你就光看書，不敲代碼怪誰？

XSS：懂了？恕我直言你看看別人找到工作的，那個不懂javascript？學了嗎？

sql：你所謂的sql應該是拿著sqlmap掃把？

MySQL
MSSQL
Oracle
PostgreSQL
Access
SQLite

這麼多資料庫，你能真正懂得有幾種？？（別騙自己）

最後在說一些哈，你上面說你有拖延症，拖延症最根本的原因就是給自己定長期目標，覺得時間還多，可以緩一緩......以前有人給我說過：今天不想跑，所以才去跑

還有就是，我也是中專的，要不要一起交流啊

都沒入門，哪兒來的瓶頸。

不要忽視實踐，不要忽視編程。

自己搭測試環境，自己攻擊，然後多看看原理性書籍，慢慢就沒有這種疑惑了。

互聯網公司安全這一塊，都很不拘一格，只有你夠牛，不用擔心學歷。加油↖(^ω^)↗

你還在山下，卻被大霧擋住了眼睛。

當你繼續往上爬時...

那邊還有更高的山等著你！

你說你學了一個月，連一個腳本都不會寫。那你這一個月在學什麼？php和python相對來說是比較簡單的語言了。你根本沒有靜下心來用心學。我認為目前對你來說最重要的是如何提高學習效率。計算機這塊特別是web安全很多公司不看重學歷，關鍵看技術，很多中專出來的大牛哦，說不定下一個就是你～

滲透測試首先學會環境搭建和工具的使用，如果windows上的工具都熟悉得差不多了去玩kail linux，很多安全公司招聘都要求掌握namp，metasploit…這些kail linux下都有。

如果工具你都掌握得差不多了接下來就去學習編程，web安全多學點腳本腳本語言，php，python，html和javascript，sql語言，linux也需要熟悉。

沒事的時候多去看看滲透測試的文章，在進行滲透測試的時候有完整清晰的思路，如果這時候你常見的工具都熟悉了，像sqlmap，nmap，wvs，編程也有了一點基礎就去學習代碼審計，進行漏洞挖掘，提交補天，漏洞銀行之類的平台，恭喜你踏上了白帽子這條不歸路。

就好比你在挖一個坑，你挖到巨石處，請問你是回去重新找地方挖還是在原地向四周挖？

做安全行業學歷可以放寬，前提是你的技術要出眾。如果你覺得自己不知道幹嘛了那說明你還不夠出眾。既然你說你會了一些前端的黑客知識，那我建議你先走滲透測試之路。先把各種滲透技巧學會了再說，編程先學python，還不會寫腳本那是你還沒理解和實踐好。

把tk教主的話做成標籤，貼在桌面，你就不迷茫了。

遇到瓶頸，說明很多知識還需要深入。

這時候你需要一個巨人，站在他的肩上，才能走的更遠。

這個巨人，可以是人，也可以是物。

人，請教高人，請教圈內大牛，學術圈比如：《計算機系統安全學術圈》，工業界比如：道哥，TK，韋韜，蒸米，王鐵磊，_PJF_等大牛。

物，請教資源，多關注頂級會議的文章，比如學術界的SP, Usenix Security,CCS, NDSS等, 工業界的Blackhat，Defcon，Pwn2own比賽等。

瓶頸嗎？不存在的。引用黑哥的名言:整就是牛!

烏雲大部分案例姿勢你都看了嗎?

烏雲每一個漏洞你是否都有看過?

烏雲知識庫的你都看過嗎？

烏雲的漏洞姿勢有沒有想辦法復現?

烏雲的那些白帽名人分享的姿勢是否都學會了？

看了這些，你有啥體會，承受忙碌吧!

找個安全公司搬磚。

靠自己折騰上升空間有限。

挖坑待填。

想得太多，行動太少，眼高手低，這是大部分安全初學者的通病；任何技術都會有瓶頸。

捫心自問下：你願不願意投入3年/5年甚至10年的時間去愛它？能不能忍受各方面的痛苦？敢不敢在這條路上孤獨終老？成為大牛隻是要點專註(一門技術最少3個月)，要點執著，要點另類.

if 你夠熱血，就立刻關上手機，打開VM，開始你的新征途！

else

趁年輕，轉行吧.

這情況簡直就是我的自述…

目前我同樣在學習python php sql…，因為我清楚的知道如果想要學會開鎖首先了解這個鎖的結構，所以我熱衷於自己打自己的臉，自我攻防。

例如：sql injection 是通過過注入惡意sql語句達到對資料庫的控制操作，如果不懂sql那麼你還玩個毛。隨後就是怎麼繞過過濾，如果是php對客戶端輸入進行過濾，那麼就要對php有所了解，通過一些特性進行繞過…最後延伸到Web涉及到的所有應用組件

曾經也迷茫過，要學的東西太多，不知道先學什麼，後來很清楚了知道，碰到啥啥不懂就學啥。但是不只是說說，現在我每天都是抽出一個小時數敲python，php，帶有目的性去實現想要的，不懂百度，不是書上面怎麼寫就怎麼寫，相信大牛都是這麼走過來的。

堅定繼續走下去的決心，如果你做不到，就趁早放棄。

最後，來呀，扎堆互相傷害啊。

一定不能只局限於技術

只學了一個月?說什麼瓶頸呢？我認識一些大牛都學了十幾年了一談起這個還是覺得有好多還要學習，所以踏踏實實好好學習！！！加油

know it then hack it

你都不know怎麼hack

我好好奇xss，sql滲透都會了，卻一個php腳本都寫不出來是什麼情況？答主會寫不少腳本，但xss，sql入侵還是不會，如果只是把beef xss假設起來了，那完全不算會xss吧?

話說現在還有人手擼xss嗎？不全站掃描+自動執行？

我沒深入研究過，但有方法讓beef掛馬的時候也使用443埠嗎？貌似beef腳本埠和web管理訪問埠不能是同一個，很多企業只開了443和80?貌似360無法檢查出beef下發的那個js文件

應該找個滲透測試的學習路線圖看看！知乎我記得有很多的，搜一下就好了！餘弦大大有發過一個知道創宇的研發技能表，可以參考一下！深入一方面去研究！我也是在學中，一起共勉吧！多實操多實操，保持學習的勁頭！！！一起努力吧！兄弟！

找到自己感興趣的點，不斷研究下去，時常關注國內外的最新動態……