本文作者：Aloneme（成长平台 300 分成就）

时间过得挺快的，不知不觉已经毕业了，还记得去年才来到信安之路时的懵懂，如今已经一年多了，成长平台上也是刚好到了 300 分，后来因为各种事情，已经好久没学习了。前段时间和良哥聊到了这个事，刚好就借着周末时间胡思乱想，分享下一个普通毕业生的安全学习路吧，也算是告别过去的自己。

我的那些第一次

第一次与信息安全相遇

说实话，其实一开始我对信息安全这个专业一点认知也没有，填报志愿那会儿还是随便填的，当时看着有这么个专业也不知道是个啥，听起来感觉很厉害，又是信息又是安全的，那不就是以前电影里面的黑客吗，所以毅然决定报这个专业，于是，在我妈“强烈的支持”下，最终填报了计算机专业，信安专业屈居第二。好在分数差了那么一丢丢，调剂到了信安（表面悲伤一下，感谢差的那几分，哈哈）。

于是，我的信安之路就这么开始了。

第一次学习信安知识

搞安全学习嘛，总得有电脑，因为我所在的高中是个小县城，所以那个地方很多学生家里基本上是没有电脑的。上了大学以后，买了一台华硕，不过是在电脑城买的，被宰的很惨，后来带着这台电脑开始学习，于是我一个啥也不会的电脑小白，用着上古版本的 vc++6.0 学习 c 语言，拿着记事本搁那手打 html，光一个 sqlserver 直到期末了才装好，真的悲催。后面去了解信息安全相关的一些东西，知道了渗透、逆向还有 CTF 什么的，都去做了尝试，结果发现逆向连个 helloword 我都要调半天，CTF 更是啥也看不懂。到头来，因为对专业知识不了解，什么都想学，结果什么都学不好，大一就这么浑浑噩噩地过了。

第一次被割韭菜

因为没学出什么成果，于是开始搜罗一些公众号、视频什么的，然后找到了一个什么内部培训视频、各种实战文章的公众号，交了 500 多块钱，其实当时也有想过有没有问题，但是当时那种情况我感觉我已经没得选了，我一个小白，什么也不懂，性格又属于比较安静的那种，我也想去问问学校小组的大佬怎么学，但是社恐能咋办嘛，所以就当交学费了，就算被割韭菜了，也大概对信安有个入门理解了。

第一次学习渗透

说下我对割韭菜的认知，一个大概知道方向和知识的人，肯定会对割韭菜嗤之以鼻，但是我觉得，韭菜班有一个好处，那就是对于纯小白，他能让你在前期对你所学的东西有一个基本的系统认知，而且有时候也确实会有一些意想不到的知识，这也是我现在虽然知道那是个韭菜公众号，但依然没有取关的原因，万一某个时候就用上了呢。

说回学习，拿到韭菜盘资源后，开始照着上面的视频操作，一步一步装环境、打靶场，那段时间赶上疫情刚开始，我就那么一边挂着学校的网课，一边开分屏悄咪咪的学渗透，什么 sqli-labs，burpsuite，kali，管他是啥照着弄一遍就有个认知了。

后来慢慢的也开始自己去网上搜其他视频、文章来看，渐渐就知道了自己现在搞的是个什么东西了，顺带一提，学习时有一个反应过来比较慢的点就是看文章，要不是某次实战时遇到了 disablefunction 这个东西，现在也不会存这么多文库来自查，这些技巧是很多视频不会交的。

第一次挖 src

实战是提升最快的，所以在学了一段时间以后，在某次查问题时接触到了 src 这个东西，然后开始学着别人去挖，最后啥也弄不出来，最后没得办法搁那儿挂个 awvs 扫出来一个信息泄露，一个 sql 注入，结果信息泄露危害太低还没收，后面还差点把别人站扫崩，直接放弃。

行嘛，技术不过关，又回去看视频慢慢学，owasp top10 挨个学一遍嘛，虽然到最后还是很吃力，但感觉是要比以前好一点。而且，这个时候也认识到，那些割韭菜的视频不论免费收费，大概率上都是很久以前的，2015，2017的，都过时了，人家挖洞一个单引号就是 sql 注入，我去挖洞一个单引号就是 403forbidden，卑微。

第一次面试+实习，感谢刀削面师傅

大三下学期的时候，看着室友们出去实习了，想着自己也学了一段时间了，就也尝试着去碰碰运气。投简历前还特意查了下安全相关的公司，最终就投到了某石厂商。

说个小插曲，在投某石时其实还随便投了几家，但不知道是不是因为简历东西太少，最终只有某石和某信有面试，但是某信因为面试通知时间周期太长了，我都以为简历被筛掉了，结果在某石面试前告诉我当天能不能面试，可想而知，我没啥准备，好多东西可能知道，但是脑子是乱的，以至于十几分钟就结束了。

某信结束后的半小时就是某石的面试，可能是因为某石比较特殊的靶机面试方式，我自己准备比较多，加上反正前面发生了段小插曲，所以反而没那么紧张了。面试官是刀削面师傅，问的都是些基础的问题，也就着我的回答稍微会深入一点，然后就是一些靶机的思路，怎么说呢，其实面试完以后我是觉得自己答得还是差了点，一直很担心，最后还厚着脸加了刀削面师傅微信，在得到师傅说实习没啥问题的时候，也算是放下了心，真的感谢师傅，顺带一提，信安之路这个平台就是师傅推荐的，点个赞，哈哈。

第一次 hvv

实习的时候除了公司项目，就是 hvv 了，红蓝都跟着公司的师傅们做过，看着他们的攻击成果，感觉都好厉害，奈何自己啥也不会，只能做信息搜集或者找找一些洞凑凑分，不过这个过程中的收获也蛮多的，至少知道了渗透不仅仅是 sql 注入+文件上传，还有很多手段。

磕磕碰碰，终得幸运

实习期结束以后，因为自己想留在本土发展，所以就离职了。当时有两个想法，第一，继续找实习，第二，利用暑假的时间把平台的学习路线过一下。因为暑假结束后就是秋招了，两个选择各有利弊，但最终还是选择利用假期学习，打好基础。于是乎整个暑假都是在查漏补缺，一边学习一边挖挖 src，锻炼实战能力，慢慢的也开始学习一些内网的东西。

暑假结束前夕面试了某 app 测试公司，顺利进入了公司，本以为能够在新的领域学到一些新东西，但是最后因为对公司的一些工作安排不太理解，也就离开了，提一下，公司的大佬们还是挺平易近人的，技术方面的问题也会帮助解决，只是我确实不理解公司的操作，大哥们还是很好的0.0！

后面有家等级保护公司来招渗透，就去面试了，因为有了上一次的经历，所以这次在面试时就有问是否只做渗透，得到肯定回复后就去了。可惜，工作一段时间后说要去驻场一个多月，我直接放弃了。就这样，我又成了无业游民，秋招也到了尾声，没啥机会了。

幸运的是，后来进了一个团队，主管刚好是学长，面试方式也比较特殊，就是让我讲讲自己的安全经历，与其说是面试，倒不如说是了解，一面就在聊天吹牛中过了，二面是线下技术面，问的一些问题相对以前的面试来说也比较特别，都是一些思路性的问题，不是单纯的八股文。比较幸运，虽然内网方面答的不是很好，但最终还是双向选择，来到了这个团队。

你们搞渗透的，ID 总是奇奇怪怪的

感觉这是一个已经是一个现象了，不只是渗透，每个做安全的小伙伴，ID 总是独特的，其他的我不知道，拿我自己来说吧，也想过很多花里胡哨的，但最后还是选择 Aloneme 作为自己的 ID，并不是说自己孤独，还是告诉自己，想做好技术，就得沉下心，耐得住孤独寂寞，渗透有时候是团队合作，但大多数时候你得靠自己，多的不说，至少也得有“一个破站 R 一宿”觉悟。

沉淀，加油

虽然感觉说了很多，但回过头来看了下，也不是很大回事，虽然感觉自己到现在似乎学了很多，但不懂的东西也更多了，慢慢沉淀吧，努力向优秀靠齐，加油。