网络安全-致大学生的一封信

hello大家好，我是叶学长，非常高兴能够与您在网络安全这个平台相认，你们可能来自各个学校、各个专业，也许你是网络安全相关专业、或是对网络安全这个行业很感兴趣，相聚在网安就是一种缘分，今日就让我带你认识网安，从真正意义上给你一个从入门到实战的知识平台。如果学校有安全学会、社团之类的可以进去，一般能接触到学安全的学长和优秀的同学，学会也会有一些好的资源和平台，比如打CTF、网络安全竞赛、HVV项目之类的。进去之后如果学会这些很会走形式主义这些的话可以考虑退或者自己学自己的。一个人学可能会很无趣，但很多人一起交流的话会学得很快，也学得比较开心。如果学校内没有给你提供好的平台的话，那只能靠自己，可以从这几个方面入手:

第一一定要提升实力（这是最重要的），不能只是理论，网络安全需要实践，网络安全说实话是限制条件很少的行业，只要你有电脑就什么都可以干，并且网上公开的项目也非常多，可以直接实践。

第二为了丰富自己的简历，去挖SRC搞排名也可以赚钱，这样你毕业的时候就比别人更丰富，并且在绝大多数企业看到你能挖到SRC的漏洞会对你比较认可。

第三就是去安全社区投稿写文章同样也是让更多的人认识你并且能够赚到稿费，增加动力，在大学的时候我一年靠挖洞挖到就赚了十万，那时候真的很有动力去挖。

通过上面三点如果你的简历比较丰富实力比较强。那就是有护网的项目多投多去面试，暑假去实习一两个月拉开和别人的距离，碰到好的企业可以提前占坑就是占住这个位置，不好的企业直接跑路。

为什么我不用视频的方式来讲解漏洞？视频讲解可能会更加通俗易懂点，但它包含一个致命的弱点，就是很多人看完视频后啥也没留下，需要用到某个小知识点时又需要去看整个视频，很难搜索到，只是认为听懂了，在网络安全现有的学习环境下，大多数好的思路都以文章、笔记的形式呈现，很少说别人会专门录制一个视频给你看，比如安装一些软件，遇到一些问题大多数查看的都是文章，网络安全需要的能力不仅仅是你学到了多少东西，更重要的是在遇到一个新的问题，新的知识，你能够快速看懂别人写的东西。同时在漏洞挖掘的过程中，我们经常需要阅读开发者的开发手册，以文章的形式来讲解漏洞能够增强你的阅读能力，提升你的理解能力，对你未来工作更有帮助！为了能够带给大家更好的体验我这边立志讲细、讲全、讲深，用文章的形式带给你比视频更好的体验。

刚开始的时候切记不要用扫描器，因为你是初学者，很难把握一个度，容易帮别人的服务器扫蹦，而且大多数大型产商之类的都不知道给扫描器扫了多少次了，刚开始的时候最重要的是掌握WEB10漏洞和常见功能点的漏洞，多去动手实战，就是先不要用扫描器，不然你有可能会陷入用扫描器来满足现状。当大概能挖到一些洞了，就可以去用扫描器，扫描器只是起到一个辅助作用，扫描出的结果还是得用手工判断，手工判断的前提是你已经掌握了基本的漏洞了，所以前期提升自己对漏洞原理以及实战速度是最关键的。后续我会发专门关于扫描和信息收集的笔记！同时来给你面试一两次！给你讲讲大概的渗透的流程。希望大家能够帮我写的大多数漏洞掌握然后去实战！基本就是只要套模板，等会挖漏洞了，其实大部分其他漏洞原理就会慢慢理解、也会理解得更深。这里看完我的内容我可以保证你日后的学习方式、以及理解漏洞原理更加敏捷。

为了节省大家的时间以及精力，这边学习安全的基本工具以及需要的一些java、Python环境我都已经整理，免得大家花费大量的时间在工具安装上，对于刚开始的初学者，如果没有一个详细的软件安装步骤很可能一个环境就得安装一上午，而这边我已经对各个工具进行下载全部放置在网盘，并附带了详细的步骤！对于这些工具不用特意去学习，先安装好，后续将通过文章一步一步的带你使用，重点是学习漏洞思路以及实战中不断的去熟悉这些工具！先会一些简单的渗透思路、渗透实战后续就非常容易上手。初学者先不用使用太多工具，先帮一个工具用熟悉后，在去扩展工具！不然很可能就是左用一个右用一个到最终啥也不会用！我也会慢慢给你扩展其他工具！

最后希望大学生们眼光放长远，在能力允许的情况下，不要仅仅局限于国内，国外也非常多漏洞赏金项目。为建立一个好的网络安全圈出一份力，为国家网络安全尽自己的一些绵薄之力，建设网络安全强国。