26歲，幾乎零基礎，想從基礎學習滲透測試該如何進行？

01-26

先介紹我的個人情況吧：
1.在北京最爛的大學上的二本，學的電子信息工程，留級了一年，沒學位證。
2.認證倒是考過，有CCNP還有國家軟考的那個中級網路工程師，但是現在剩下的知識，也就能劃分個子網。

2.現在從事信息安全行業，上班一年半了，公司很小，技術部算我一共3個人。
3.做過一些項目，全是信息系統風險評估和等級保護測評，但是技術性很差，全都是靠訪談來實現。
個人情況就介紹到這裡吧，下面說說我的疑惑，希望大家能為我指點迷津，萬分感謝！
在我的意識中，信息安全這一行業應該是吃經驗飯的吧，經驗越多越值錢，而我已經26了，還毛都不會。最近對滲透測試很痴迷，把《滲透測試實踐指南》看了兩遍，現在正在看《Metasploit滲透測試指南》，看了一半了。但是真的發自內心的感受到，我這是在平地起高樓，完全沒基礎，學會了也只是知道了皮毛。所以請大家為我指點迷津，就我這種程度的人來說，想成為一名合格的滲透測試工程師，如果從基礎開始學起，該先接觸那些方向、書籍？還有就是，我現在這個單位項目少，工作十分清閑，可以用於學習的時間很多，但是實踐機會幾乎沒有。我是否應該跳槽到一家平台更高的安全相關的公司，去那裡進行學習和實踐？

你的情況和我以前很像（一年前吧），不過你考了np，我沒有，我多學了rhce。

我也是從13年開始接觸的，時間也不是很長，也沒有說成為了高手，只是我們情況很相近，所以談談我自己的學習方法，看看有沒有你可以借鑒的地方。

你已經在安全公司工作了，看了一下，你是做安全服務，而你想做滲透測試，那麼你可以這麼做。

你可以下載一些滲透視頻來看，別覺得那很丟臉！然後，可以過一下owasp top10，還有一些滲透測試平台，下載下來，試著去做做。再配合一些書籍，道哥的和餘弦的。再接著，你可以去各大論壇看看文章，比如tools，90，fb，烏雲，360等等，在這些地方，會有很多知識讓你學。尤其是烏雲上的，案例非常多，而且大多數都是很短的時間就能學會的。再之後要拔高，肯定是需要一門語言為依託的，建議你從python入手，然後去推特上關注大牛，他們經常分享有用的新的知識點，英語不行就補。

對於學網路出身的，大部分要是做安全的話，都只做安全服務，確實很沉悶。

還有人說我們網路出身的很有優勢，我到目前為止都沒看出來優勢在哪裡。

共勉，同是網路人。。。。

歡迎討論。

最初的情況和你一樣，到現在為止已有8個年頭了，回想起以前純粹都是利用空閑的時間，拿一些公司的其他項目進行實驗，反覆看反覆實驗。你說的那些書，還有其他網友在一些熱門的帖子里推薦的書，我都沒有看過，也推薦不了什麼書。

在這段時間裡能讓我技術成長的有3件事：

1. 把所有相關安全基礎知識都理解透。

2. 基本上一有空就去泡在論壇里看別人怎麼做想想能否用到自己的項目中。

3. 把學到看到的可能可以應用在自己項目上的東西，一律都去試一遍。

我做的都是很基礎的事，但就是因為基礎紮實，學東西都很快。

加油！

首先：要看書是必須的。。。其次，你要有一個自己的線上網站。。。自己的。。。之後書里講到的自己去搞一個類似網站，可以沒有內容，之後去黑自己的目標站。。。這樣的話安全不會被查水表。。。之後遇到不懂的就去百度問，百度查不到就去找QQ群去找大神繼續問。。我也在學，現在算一個大白吧。。。希望可以在這條路上多走幾步

1 多學習一些相關的網路知識。

2 最重要的是對網路的熱愛。

之前在北京一家公司做安服（滲透測試），兩個月之後被開了，現在在做等保，跟了一次項目，感覺沒什麼技術含量，主要靠訪談，現在覺得還是做滲透測試好，但是又怕自己基礎差做不好，現在很迷茫，不知道做什麼。

看書+實際操作

更加邪惡，要有窺私慾，又能保護自己

在學校學網路的，還沒畢業就在安全公司了，不過更多的是工程，沒什麼技術，自己入門更多是看書，然後搭建環境測試學習，下載攻防環境測試，還有研究一些比較新的高危漏洞，平時多關注freebuf和烏雲，當然也在學習python了。

我就考了個na就到一家公司負責幾百台交換機。。硬著頭皮上。。

http://www.zhihu.com/question/27412555/answer/36538886

加油吧！安全行業永無止境！新的漏洞不斷出現，所以沒有人敢說已經很精通了！我以入職半年！什麼證書也沒！學歷也沒！所以只能比別人晚睡會！多看看書什麼的…找找感覺

知乎就是大舞台，有想法可以提， ?疑問可以提。