对新知识的学习，应该明确三点：学些什么？怎样去学？三是及时复习。

 

本文以这三点为基础，围绕信息安全学习过程展开论述。大型目标点，在新知识的学习中，明确

学习目标是第一件要做的事，有目标才知道自己该往哪里走。但是对新人来说，在无人指导的情

况下，明确目标这一步会比较迷茫，所以个人建议如下：
 

根据OWASPTOP10文件中所总结的漏洞类型来设定目标。但其中一些项目还比较杂糅需要在这

一点上继续分化下去，分化的问题放在下一部分来解释,二是培训机构的白嫖课程大纲。这一点，

我也是在看别人分享学习经验的时候得到的，原则上，我不推荐培训机构的教学大纲对于帮助快

速确定学习目标，无论是在线还是线下的培训机构在询问有什么课程时，都毫不忌讳。三是网上

导读文章学习。网上的大部分入门文章都是因为推荐书中有细分知识点，所以文章中没有明确的

要学习的点。所以这篇文章对于目标的初步确立并不重要，但一定要参考文章里面推荐的书籍来

帮助自己建立目标。

 

 

小小的知识点
 

了解了应该学的知识点后，那么针对这些知识点又应该从哪个方面入手呢？这些经验都是我在

良哥学习时总结下来的。共有三个要点：一、造成漏洞的原因？如何利用这些漏洞呢？三、如

何防范这些漏洞？在原则上——利用——补习这三个方面进行学习。

 

 

如何学习?老问题了，标准答案当然是对搜索引擎的好。搜索漏洞的原理、利用方式、如何防

御以获取详细的知识内容，优秀的社区如T00ls、先知又或freebuf、安全客等门户网站都有很

好的文章。问题解决后，知识内容就成为实践的东西，但是对于初学者来说，环境总是最难

解决的问题。有人建议，可以首先在Windows虚拟机上利用phpstudy，然后结合综合的基础

漏洞平台dvwa来学习。一方面是因为环境搭建简单，不容易在环境搭建这方面碰壁，另一方

面是因为环境搭建的漏洞非常基础，所以能有效的看出成功，进而保持学习的兴趣。但随后

一定要再次手工搭建linux系统下的环境，以加深自己对网站架构的理解，知道组成Web应用

程序的那些部分。这可以帮助自己了解出各种漏洞出现问题的地方。当综合漏洞学习完成后

就是专项漏洞的学习，综合漏洞毕竟还是比较基础的，要对所学知识点进行更深入的练习需

要更具体的环境，靶场推荐.

 

而在这些漏洞的学习中，则需要相应地加强基础知识，比如编程语言的学习，各种协议的学

习等等。基本知识和完成漏洞的学习后，就可以考虑尝试在实际场景中测试或在CTF中锻炼

自己。由于自身也在这个阶段，所以不能为这些内容提供有效的帮助。

 

真实的漏洞挖掘在学习CTF中的同时，关注一些最新的漏洞动态或者大佬们关于漏洞的研究

文章，积极动手，重新学习相关的漏洞。这个学习的东西会很杂，所以我们要把学习的内容

分类，这样才能对自己的知识有一个结构化的了解，知道自己的不足之处，方便自己查漏补

缺。

 

 

其实在这个方面没有什么特别的办法，只有靠自己坚持。但是如果看了自己的文章觉得比较

惭愧，或者不能静心的话，可以记下自己每次查阅资料的地址，对这些资料的内容再学习。

自己在分享方面做得很不好，因为忙于学习新东西也没有时间整理学习内容再贴到自己的博

客上。也希望在安定了生活状态后，自己可以多花点时间来总结和分享。