信安之路小白成长计划，第一周结束了，目前完成第一周任务并加入后续学习计划的人才仅仅三百，一年之后能有多少人坚持下来无法预测，但是无论是否可以完全走完这一年，也希望大家能有所收获，成就自己的同时，为安全圈留下一些脚印，供后来者参考。

这篇内容来自于信安之路小白成长计划的第一次周会，后续每周日会在成长计划交流群进行语言会议，同步一些学习中的问题、下一周的学习任务目标以及一些大家想要了解的话题。

第一周任务审核标准

第一周的任务主要是为了从大量的成员中选出真的想参与学习的同学，以为设立门槛，就一定有打酱油的被排除到门槛之外，从而提升活跃度，所以对于报告的内容质量没有过多要求。

对于提交的报告我大致看了一下，有些人完成的非常好，有的在结束的时间点，加固部分基本没做，但是没关系，小白成长这个计划重要的时候学习的态度，而非技术多厉害，技术厉害也就不用参与了，所以没做的要好好看看大家写的报告，学习别人的思路，扩充自己的短板，这就是成长。

有些同学想让我把优秀的选出来给大家看，但是我认为，这个看的过程最好自己去做，因为，学习过程中越复杂越能学到东西，服务越周到，自己参与的部分越少，对自己的成长越受限，所以必要的工作还是自己去做吧。

我能提供什么

因为个人精力有限，我的作用是将大家集中起来，提供学习目标，制定群规并设置惩罚措施，维护一个良好的学习环境，对于技术的细节我会不会参与讨论也不会讲课，但是可以提供思路上的帮助，具体的细节讨论可以在群里交流。

小白成长计划实验班班规

1、每周学习时间 周一——周六，报告提交、互相学习以及任务发布时间 周日，在学习时间内，禁止发布与当前阶段学习无关的话题，周日聊天内容不做限制

2、提问题之前要先自己搜索相关答案，实在没有解决办法的时候可以提出来，需要把自己做过的努力展示出来，然后抛出问题

3、不要为了提交报告而提交报告，在确实已经学的差不多的情况下再提交，这样可以根据学习的实际情况做出调整，是否需要提供更多时间之类的

4、做好项目管理，每周的学习可以创建对应的目录，将学习过程中涉及的参考资料集中起来，建议在 github 等平台将自己的每周学习记录同步，这样大家在相互学习的时候，不只是分享最终的学习成果，还可以扩展到学习过程中涉及的资料，未来将是一笔宝贵的财富

5、成员每周都需要参与讨论，无论是提问题还是回答问题，对于两周未参与讨论的成员将会被清退。

6、任务发布会根据每周任务完成数来定，如果周任务有上一周完成任务的成员数的一半完成，则发布新一周的任务，如果没有则时间顺延一周

7、报告提交名称：第一周-任务名称-常用ID-个人星球编号.pdf ，群昵称：常用ID-个人星球编号-地区

8、在看到对自己帮助很大的报告时，可以在群里推荐，并附带推荐理由，然后作为优秀报告分享到知识星球

9、周日例会结束可以做分享，分享人自荐，没有就不分享，不强求

第二阶段目标：sql 基础学习

学习 web 安全，sql 注入是必学的，因为 sql 注入问题是多年来一直位居榜首的 web 漏洞，而学习 sql 注入，核心的基础是 sql，所以在接下来的一段时间以学习 sql 为主要目标。

sql 注入可以分为几个阶段，比如：检测是否存在注入、通过注入漏洞获取数据、通过注入漏洞获取权限，根据这个三个不同阶段的要求进行划分。

第二周：认识 sql 并学习数据库的基础操作

1、什么是关系型和非关系型数据库，两者都包含哪些种类的数据库（理解两者的区别）

2、选择一种关系型数据库进行学习（选择自己不熟悉的进行学习，因为不同的数据库，其特性也不同，所以可以选择不熟悉或者感兴趣进行研究学习）

3、学习数据库中的字段类型并创建库和用户表，需要包含所有字段类型（主要熟悉数据库的基本使用，可以自由创建、删除、修改数据库和表）

4、学习数据库的增删改查，记录学习过程（重点是 sql 语句的理解）并形成报告（最终结果）

第一周会议问题与解答

本次会议，参会人数 100 + ，大家提了很多问题，我也没有全部记录，挑了几个进行回答，还有其他想了解的，可以在第二周的周日讨论交流。

大家是小白计划的主角，我只是个辅助

大家要摆正态度，在学习过程中，我只是个辅助，我如果做的越多，大家可能做的就越少，就像传统培训，一切的环境和教学内容都有讲师制作，那么学员能做的事很少，都按照正确的步骤进行，那么就不会遇到问题，或者遇到的问题很少，能学到的东西只是一个结果，过程根本无法理解，所以大家是学习的主角，每周的报告虽多，但是也需要大家认真去看，让我为大家筛选优质报告，那么我们这个成长计划的效果就会大打折扣，在学习中遇到的问题越多，那么在工作中遇到问题解决问题的时间就越少，这也是我们这个计划的目的之一。

这一年的计划是什么？

本年度成长计划只做一期，一共分七个阶段：

第一阶段：学籍备案以及环境准备

第二阶段：数据库基础学习

第三阶段：web 漏洞实战之 sql 注入

第四阶段：web 漏洞实战之其他漏洞

第五阶段：waf 原理学习与实践

第六阶段：渗透测试实战

第七阶段：红蓝对抗学习

这些阶段涉及到的技术包括：数据库学习、常见 web 漏洞学习、php 脚本编写、python 自动化工具编写、渗透测试流程实战、waf 原理以及正则表达式学习、Windows 域环境及工具命令学习 等

红蓝对抗是什么？

我们这里的红蓝对抗的学习主要研究攻击技术，也就是国外说的红队，因为蓝队主要是甲方的安全防御团队，需要的资源和代价很大，不是单兵可以搞定的，我们这个成长计划主要就是单兵作战，红队攻击方面包含了一些渗透中不包含的技术，比如：钓鱼、挂马、水坑、供应链、社工、物理攻击等等，这些都不是我们的主要学习内容，因为攻击性比较强，我们这方便只关注在内网环境的学习，也就是内网渗透，怎么进内网这个就需要大家自己来学习了。

有没有可能在安全建设中涉及机器学习？

我所知道的在用户行为分析的过程中处理用户行为的大量数据是可以用机器学习的，我之前在做爬虫识别中尝试过使用机器学习中的降维聚类算法，进行无监督学习，效果不太好，还是自己的规则更好用，当时的情况我是已经非常熟悉爬虫的家族，只是使用一下看看效果，如果不熟悉的情况下，使用机器学习来聚类可能会节省一些分析时间，准确度是无法保证的，毕竟机器学习就是一个概率的问题，无法实锤，只能参考。

工作的话，安全岗位都有哪些？

在甲方的话，根据公司体量的不同，所需的安全人才不一样，小公司普遍存在一个人的安全部，一个人啥都搞，比如安全平台搭建、应用安全（渗透、SDL）、安全培训（意识、技术）、安全合规（等保、ISO27001）、数据安全等等，如果公司比较大且重视，那么这些工作内容可以再进行细分。

由于渗透测试工作，在业务系统多的情况下，甲方是可以招专职的，但是在业务系统少的情况下，渗透测试岗位可能会比较闲，养一个专职渗透可能会比较奢侈，所以会使用一些乙方的服务，对于乙方的安全岗位就比较多了，基本上只要涉及到安全方面的都有，比如渗透测试、安全服务、驻场、安全研究、漏洞挖掘、红蓝对抗、安全测评、安全咨询等等。

把这些阶段学习完，能搞到毕业证吗？

只能说不一定，在结束的时候需要大家编写毕业论文，毕业论文会在公众号发布，只有满足了这个条件最后才颁发毕业证书，所以即使学习完了也不一定能拿到毕业证书，这也是为了保证拿到证书人的质量，提升我们证书的含金量，而且仅此一期。

现在还能加入吗？

由于第一周任务已经结束，通过门槛的人数接近 300 人，这已经是非常多了对于一个班级来说，现在群已封闭，只出不进，如果想要跟着大家的节奏学习，可以加入知识星球跟着任务走，但是无法参与到群交流中，加入知识星球的可以加入我们的学习交流大群，说不定在那里提出你的问题，也可以得到解答。

加入成长计划交流群的人是我们的学习火车头，其他想要学习成长的小伙伴可以在火车头的带领下完成这一年多学习，火车头成员在学习过程中整理的资料和编写的报告会发布在 github 等平台分享，大家也可以去这些平台去寻找火车头成员的学习记录。