之所以写这篇文章呢，是觉得大时代的发展，我们这个专业越来越受到重视了，所以，阿鑫也想以自己的一些拙见，能帮到想入门的朋友

1.关于网上的培训

如果你想快速获得知识，培训无疑是最快最有效的捷径，但是我不建议大家去，第一.讲的东西很肤浅，自学很快的。第二.价格很高.第三.讲师讲的终是他的理解，你无法有自己学的那么深刻，导致后面学的东西无法迭代已经适应新的东西，人话总结，不管是web，还是内网，还是代码审计，ctf，都他妈不要去培训。

2.自学

这是很难的，你才入门一个方向，什么都不知道，什么都想学，但是又不知道花时间去学习什么，学了有没有用，就算有用，我他妈怎么知道我学的怎么样。我一个一个说

花时间去学习什么？

要回答这个问题，我们要大致清楚网络安全&渗透有哪些方向，举个列子

比如我想学习网络攻防，那么我需要了解web常见的一些漏洞,比如sql注入，xss漏洞，ssrf漏洞，还要掌握信息收集对吧，还有一些工具的使用对吧，比如burpsuit，sqlmap，xray等工具这是最最基础的。如果想要进一步提高，可能需要掌握一些基础的代码，比如php执行命令的代码被禁用了怎么绕，php的一些反序列化，简单的代码分析，审计。漏洞的深度利用，比如上传怎么绕过，waf怎么对抗，最新出现的漏洞的复现，拥有渗透最核心的思路，在基础漏洞上不断变化。如果还想继续提高，需要拥有足够的经验，看见陌生的cms推测是有xxx二次改的，审计代码，研究一个方向寻找0day，跟随目前安全攻防的大方向，原来是注入很火，到现在的各类反序列化，java的漏洞(shiro,fastjson)，内存马能跟随大方向研究，并且有自己的见解。

那么我从入门开始学习，就要学习owasp top10的漏洞，自己找环境复现，明白原理，然后操作即可，然后找一些存在问题的cms，自己搭环境浮现，平时多看看论坛，比如安全客，先知，t00ls等论坛。有人就会问，那么我js学不学，html学不学，网络协议学不学。首先是网上很多傻逼跟你说要学，我只想说，学个鸡8，关于js，渗透中的作用无非是看网页的js寻找信息，一些密码加解密，亦或者是存在xss，我们可以根据js来弹框钓鱼，且github上有源码，你学他干嘛？当我们达到一定的级别，会有一些项目驱动你去学习，但是当你到达这种级别时，你中途历练的过程，就隐隐约约让你大致了解这个语言的框架了。至于html，我用的最多的就是有一些cms可能存在后门（上传），或者存在csrf，需要我们自己构造html，csrf用burpsuit即可，唯一html需要稍微学习一下submit，网络协议，当你用burpsuit抓包，代理会接触这方面的内容，至于tcp什么握手的，攻防基本用不到，什么arp欺骗，真的用不上，至于内网，需要不断的积累，自己搭环境，一步一步来。因为我自己就是0基础学习攻防，谈的都是我自己的见解。当然，这是攻防的案列，还有许多方向。

比如逆向,搞二进制的（pwn，漏洞研究/挖掘，写马），搞apt的，做安服的（也分为驻场，网络攻防，安全研究），安全运营的（基本甲方偏多，企业安全建设），安全产品的（ids，edr，防火墙等），重保等保等方向

我自己学的怎么样

学习完理论一定要自己搭环境复现，有时间多去逛论坛，多去面试！查漏补缺，怀着热爱的心去学习，戒骄戒躁！

此外，我在自己的github上总结了一份漏洞，希望对大家有用

https://github.com/xinxin999/My-Summarizing