【编程】对于一个以后想做信息安全方面的学生，是否有必要进acm校队？_科技_易房网
对于一个以后想做信息安全方面的学生，是否有必要进acm校队？
作者：admin
本人以后想做信息安全，最好是web安全方面的工作。理想公司是北京知道创宇、阿里、企鹅... 而，本科所教的知识都比较基础，安全又是最需要T字型人才的领域。这就需要我课外去学习很
本人以后想做信息安全，最好是web安全方面的工作。理想公司是北京知道创宇、阿里、企鹅...而，本科所教的知识都比较基础，安全又是最需要T字型人才的领域。这就需要我课外去学习很多东西，比如python、JavaScript、php、linux、msf、sqlmap等等很多，这些东西是需要比较长的时间去学习的。但，又觉得在计算机领域算法无疑是非常重要的，而且学长也一直推荐我进校ACM队跟他们一起弄acm。可是，搞ACM竞赛是很耗费时间的。如果参与acm竞赛的话，我又担心自己无法调控好学习、acm、安全三个时间，最后导致三方面都做的很失败。我对安全很感兴趣，对搞算法也不厌恶。鉴于以上前提，希望各位知友能给予我一些建议，万分感谢！http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
信息安全专业的ACMer报道。。我跟你讲啊，ACM和信息安全简直扯不上半毛钱关系，唯一的关系是搞了ACM之后，数据结构课，算法课，信息安全实验课都能虐过去了。。其他的简直就是完全无关。。所以如果你想继续搞信安的话，建议不要搞ACM，据我所知信息安全的公司基本都不会在意ACM奖项。。。我开始搞ACM之后就完全没想过要继续搞信安了。。。。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
又被邵成邀請了……我一直覺得喜愛算法競賽和喜愛信息安全是負相關的。看愛好選擇哪一個啦，不過選擇算法競賽可能收穫會更大一些。我感覺算法競賽的興趣似乎不太能保持長久，隨着年紀增大在這上面花時間越來越不容易了，但是信息安全隨時可學。有一些參加算法競賽後轉CTF方向碾壓衆人的例子……比如 Riatre peter50216(三面之緣) Shik據說他們是在CTF裏找到了類似刷算法題的樂趣……
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
同为信息安全专业的ACMer，靠ACM保研到了信息安全方向的实验室，同时也在搞CTF，题主可以把我的经验作为参考。 搞ACM的好处主要是熟悉各种算法、锻炼思维能力和代码能力。作为程序员，思维能力和代码能力毋庸置疑是极端重要的，至于那些算法，在实际工作中“直接作用”几乎没有。然而算法是下层建筑，思维能力是上层建筑，正所谓思而不学则殆，不深入了解各种算法很难锻炼“出众”的思维能力。搞ACM肯定会占用大量的时间和精力，各个学校对集训队的队员要求可能不一样，但是要出成绩肯定要付出很多。 水煮鱼同学说搞安全的不研究密码学基本不需要学太多这方面的东西，我在做CTF的时候也深有体会。在队里我负责密码和算法两方面的题，比赛时除我之外，只有做溢出的队友要写少量脚本，其它队友基本不需要写代码。所以个人感觉安全技术代码能力和算法功底要求不大，尤其是题主最感兴趣的web安全，各种渗透工具很全，基本不用再造轮子。我们专业不少大神在研究安全技术的同时也会注重代码能力的提升，总之这方面能力够用就行。不过ACM修炼的是内功，也绝对是硬实力，ACM很牛的人学啥都快。 如果题主的学校CTF竞赛氛围还不错的话也许这个更适合你，无论做什么方向都要坚持才有回报，而坚持的动力就是兴趣。本人入学时也对安全技术感兴趣，但是入坑ACM后觉得ACM才是真爱，这点我似乎和前面几位同学一样，所以即使保研了也在继续搞ACM希望打出更好的成绩。最后提一句，ACM入门难，Web安全入门简单，不要在入门的时候质疑自己的选择。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
谢邀。作为一个信息安全专业出身的退役acmer，我觉得如果你能投入到acm中的时间并不多的话，可以考虑专精于信息安全方面。我平日的生活就是刷刷题，上课好好听讲，这样才能比较好平衡学习和竞赛。可能我们学校对于信息安全的学习比较水，有些课虽然很难但是比较好过，所以还比较好应付。实际上我知道想弄好安全需要付出很多，恰好我对安全的兴趣没有那么大，或者说我觉得它很难，就选择了我特别喜欢的acm竞赛了。我同学中有专门研究安全的，他们最后也去了百度腾讯360等等企业，我知道他们也是付出了很多才能有今日的收获。所以我觉得楼主如果对安全兴趣非常大，不妨坚持下去。加油。————————————————————哎其实我可能要成为一名研究系统安全之类的研究生，搞过acm其实帮助不大，但是有时候想问题的角度会跟别人不太一样。不过因为本科安全方面没有学精，数论没有用心钻透所以现在看数学分析会很吃力。反正对我来说搞过acm算是一种收获，条条大路通罗马嘛。啊这是题外话。。。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
做为一个信息安全专业，也打过ACM的人。给你一点人生经验。ACM是很有必要打的。因为打完ACM之后，你TM再也不会想做安全了。因为创造总要比破坏来的更方便更爽快。更何况，你万一要做不了安全。靠着ACM这点积累，也能找个好砖搬搬。就酱。===更新：突然觉得这个答案太主观了。不过在回答中，我也没有标榜自己是客观的。萝卜白菜各有所爱。我没有褒谁贬谁。只是说说自己的感受。如果你像评论中的某位同学一样想多了的话，请不要脑补情节啦。thanks
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
个人感觉，喜欢什么就去做什么，不要曲线救国。学算法应该是你做安全的时候发现算法太弱了才去学的，而不是为了acm拿牌去学的。当然如果都喜欢，就无所谓啦
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
嗯。。今年大二信息安全专业+今年第一次region拿了个破铜。其实题主说的这两件事都很好玩，但是我现在主要玩的是ACM和学习。。同级的人有人选了另一条路，看上去混地也不错的样子。总之我觉得。。如果题主和我一样不能在三者之间平衡的话，就放掉一个吧，以进为退。放弃哪个当然是题主自己决定了。但只要坚持下去总不会亏。因为在以后的以后，我想从这三者获得的"学习能力"比“学习到的知识”更管用吧。我觉得我现在还很蒟蒻还很需要成长，两年后再来回答。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
别听学长吹，他们现在跟你吹算法有多重要，等你入坑了下一步就劝你放弃安全转做开发，要在安全跟ACM间寻找平衡根本不可能。算法是很重要，但除了算法，其他的基础又何尝不重要？每一个都够你研究一辈子，那你究竟要什么时候才开始做安全？想做安全就直接开始做，发现基础薄弱再去补。搞ACM可是要拼半条命才能获得一点荣誉，等你入了坑就发现已经没精力搞安全了，那时再来放弃的感觉跟当逃兵差不多。不过搞过ACM的好处是肯定有的，ACM的竞争强度跟CTF完全不在一个级别上。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
我也算和acm有过一段纠葛。。刷过一两百道题。个人觉得没必要，两者关系如楼上所言，负相关。如果校内有ctf队倒可以考虑进去玩，不过要切记，那只是个比赛，比赛么……最大的作用无非就是拿奖，然后会有人傻钱多的公司给你大把钱的offer。至于硬实力的提升嘛，当然还得硬着来。不过看你的叙述挺乱的，大学语文建议认真学，代码也要多写。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
这得取决于你所在学校ICPC的成绩。还有整体的水平啊环境啊……说实话如果真的很弱而且你很喜欢信息安全方向的话。建议不要“深入”地参加了，努力把自己喜欢的东西学好。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
参加过一届校队，区域选拔赛未出线（弱校）热爱信息安全，感觉没有太大关联。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
我觉得可以去打打，这个对于开阔眼界培养能力是没有坏处的
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
搞acm竞赛更多的是算法和数学功底好，搞信息安全不研究密码学的，算法和数学功底说得过去就好，没有必要。参加个ctf队很重要。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
喜欢信安的话可以去打ctf嘛，那个涉及知识面比较广～不必非得要acm，各领域都有比较权威的比赛
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
……我可不可以理解题主的心态是，吃着信息安全/CTF的响水大米，看着ACM/ICPC这个别人口中的五常大米？构建比破坏好玩？作为吃着noip与ACM/ICPC的饭的人来说，看着CTF，加上之前scriptboy的短暂体验和经历，感觉信息安全挺好玩的，破坏和在仿佛密不透风的地方找出洞来扩大化，真心感觉有点意思（是因为我心理不健康吗？）我可以说身边某人之前自己独立做大作业ing(***语句评测系统)，然后大作业截止前几天找到我，说挂个名吗？——他那段时间工作必然+机遇巧合，接触到了注入这种东西，然后一发不可收拾了，他折腾了老半天渗透和注入，然后大作业都忘光了，到deadline感觉交不出去……我目前反正没有计划深究信息安全/CTF，还是准备深究ICPC。老师和过去的负担有一点但绝非主要，主要是，所做的一切清楚、可知，心里感觉很舒服的。而且还是觉得敲掉一个折腾自己半天的题目可以吐槽，可以YES几下，爽。CTF和ICPC，这两个基本，个人感觉，是同一条河上两艘船，两艘方向还相反，偶尔航道会贴的比较近。完美脚踩两只船，这个需要过人的精力了，非神犇别乱来，挑好一只，坐上去，坐稳了，把事情做精，另一艘船回头看看（偶尔玩票）就好，不要又想着坐回去，自己也要对自己的选择所带来的风险负责的。
http://www.easyfang.com易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
如果你喜欢信息安全 那么请来CTF不太认同ls有几位的观点 安全虽然和coding有共性 但玩的更是思维和逻辑
做逆向更是需要对算法的敏感和灵活的数学应用 其难度和精巧度胜过acm 而且如果本校是弱校你也不用白费力了(我电比uestc弱太多目前的xctf的形式已经很接近acm了 已经举办了杭州站和成都站的比赛 而且有积分制比较正规 奖励也很丰厚还有一些企业的比赛是可以提供终面机会的 比如alictf
1.本站遵循行业规范，任何转载的稿件都会明确标注作者和来源；2.本站的原创文章，请转载时务必注明文章作者和来源，不尊重原创的行为我们将
追究责任；3.作者投稿可能会经我们编辑修改或补充。
/mnt/d/www/easyfang/templets/default/tupian.htm Not Found!
/mnt/d/www/easyfang/templets/default/hot.htm Not Found!
友情链接、商务合作QQ:给表弟的Web安全入门建议 | sosly 菜鸟笔记
我的图书馆
给表弟的Web安全入门建议 | sosly 菜鸟笔记
表弟大一刚结束，学的是计算机相关的专业，上学期开始学安全相关的技术，我就给他买了一套云课堂的
课程，结果这货学到第一课的时候，因为错过章节考试时间直接没及格……好在后边几课都按部就班的学习了，然后应该是6月份开始试着在
挖掘漏洞，到现在也只是发现了几个XSS、敏感文件泄露之类的小漏洞。之前表弟要准备课程的期末考试之类的，现在放暑假了，我就建议说可以再好好学习那套课程，趁着暑假，多实践。然后就讨论到 有没有适合入门阶段学习的Web安全书籍 这个问题。
说到Web安全书籍，这几年其实是一种百家齐放的状态，不断有优秀的书籍出版，那这里就尽可能少地整理几本我阅读过的Web安全入门书籍作为推荐。
如果没学过相关课程的小伙伴，真的从0基础开始的话，还是需要先掌握一些基本的技能：
上了解Web前后端以及HTTP协议的一些基础介绍，花半天时间对相关技术有个概念性的了解就够了。
2. Windows下下载
，在本地搭建Web服务器环境，然后自己搜索两篇文章学习下基本的操作方法。这个本地Web服务器也就相当于学习过程中的一个实验环境了。
3. 学习浏览器的开发者工具（通常快捷键F12调出），搜索一些教学文章，掌握Chrome或者Firefox浏览器开发者工具中的Network、Elements功能的常见用法，可以查看HTTP数据包以及定位页面元素。
0x01 给表弟的Web安全入门建议
适合初学者的Web安全书籍
道哥出品，很多人的Web安全启蒙书。
前端黑客技术，余弦的作品。
对于读书，我觉得读书的目的是：学以致用。应该把注意力放在如何应用读到的知识，提高自己的技术，而不是学了多少内容。
一年哪怕只学习了一本书，也要让这本书的内容结结实实地提升自己的技能，而不是只为了多一点谈资或者阅读清单上多一个数目。这也是我这里只推荐了两本书的原因，因为我觉得这两本书，能够认真学习完，并且实践书中的案例和技能，已经很难得了，同时相比于简单翻一遍，要多花费很多的时间和精力。
工具与实战
那学习Web安全呢，同时还要掌握一些工具：浏览器开发者工具与浏览器插件（如HackBar、ProxySwitcher）、抓包工具如Burpsuite、漏洞扫描和验证工具如御剑、sqlmap、AWVS，工具可以在 上自行搜索下载，教程可以参考系列教程中对应这几款工具的章节学习。
好的工具可以帮助我们提高测试效率，扩展测试思路。除了工具的使用，通过搭建本地实战环境练习手工技巧，也是很好的进阶之路，这里建议可以搭建 漏洞测试环境，然后参考 进行学习。
学习的同时也可以在在等漏洞平台上挖掘漏洞，赢得认可，也是一种动力，但挖掘漏洞的时候一定要注意规范和界限，可以参考，挖掘漏洞的同时也要注意保护自己。
适合初学者的社区和资讯站点
i春秋社区聚集了很多的人气，有好多学生，也很活跃，入门和进阶的文章都有，可以多多交流。
很多科普和梳理性的文章，也经常会有时下的热点讨论。
大学在校生可以关注的一些比赛
这个和全国大学生电子设计竞赛信息安全技术专题邀请赛一样，都是做一个安全软硬件系统来解决一些安全问题，通常有项目文档提交、源代码提交、现场演示答辩等几个步骤，分为初赛复赛，全国大学生信息安全竞赛为每年一次，全国大学生电子设计竞赛信息安全技术专题邀请赛通常两年一次，这两个比赛获奖对于大学生都有竞赛加分，在锻炼自己的同时，对评奖学金和保研也有帮助。
这个是和i春秋合作的线上赛，和线下赛目前看来还没什么关联，CTF性质的。每年的CTF比赛很多，大家可以关注i春秋等一些站点的资讯就行了，大学生组队参加CTF比赛的挺多，也是很好的锻炼方式。
挖洞、博客与团队
既然是入门了，建议就可以随着学习的深入，在一些SRC平台上挖掘漏洞，如果你不太喜欢走这个路线，也可以整理自己的学习过程，写一些技术博客进行分享，俗话说来“你挖洞来我拍砖”，都可以，而且一些平台如Freebuf、先知社区都有付费文章奖励计划，这两种都可以在学习技术的同时获取到一些物质上的奖励，如果你慢慢有了一些编程能力（Python、Web前后端等），除了让自己的安全技术自动化之外，还可以再Github等平台分享一些开源项目。相关的SRC站点我随后再说。
关于写博客，如果自己搭建站点的话，可以考虑使用hexo+github搭建免费个人博客，或者租用一台VPS部署Wordpress博客程序。其实我觉得，初学的话，可以不在站点搭建上浪费时间，在一些比较优质的博客平台上注册一个帐号即可，也可以有自己的个性域名。如、、。写博客本身就是对自己知识技能的巩固和梳理，不要怕写不好，博客就当是给自己看的。
有一个点要提示一下，既然想走安全这条路，那么给自己想一个个性的ID（昵称），提交漏洞或者注册博客时都用这个，好好维护，当做自己的个人品牌认真经营，随着你的贡献和分享越来越多，你的ID会被越来越多的人了解和认可。
积累的过程中，如果恰好遇到几个志同道合的小伙伴，那就组个小团队吧，平时技术切磋交流，或者组团挖洞，打CTF等都是极好的。也可以主动去搜寻，或者申请加入一些公开招新的安全团队。一个人有时候可以走的更快，但一个团队往往可以走的更远。
一些进阶的书籍和资源推荐
这部分内容按需选择即可，等你入门了之后，有了一定的技术和经验，你已经足够去规划自己的发展了。
平时可以当做词典来翻阅。
深入剖析Web安全技术。
可以在虚拟机VMware中，下载运行kali Linux的VM版本进行学习和实践。
编程技术相关的书籍就不推荐了，自由学习。
站点可以浏览下
，前者是一个持续更新的安全圈站点导航，总能找到你想要的网站，之前说的SRC站点这里都有，后者是一个安全资讯的收录分享平台，有什么安全问题可以搜索一些历史文章看看。
0x02 聊聊“学习”与“实践”
入门与进阶
对于初学者来说，找一个靠谱的教程或者老师，帮助自己快速入门是非常有必要的。入门之后，虽然高手的点拨也很重要，但更多的功课其实是需要你自己来做的。这也是为什么优秀的入门教程很多，但是优质的进阶版本教程却不多。
有一句话叫“付费就是占便宜”，对于新手来说，入门阶段花一点钱买一套优质的课程，让有经验的内行带着自己学习，往往是最优的选择。还有一句话叫“免费的就是最贵的”，免费的教学资源，质量参差不齐难以保证，不用花钱，但耗费的是你筛选的精力和时间。自己根据条件取舍，现在已经逐渐进入了一种知识付费的时代，这就是我给表弟买了一套云课堂的课程作为入门学习的原因，一套优质的网课，相比于昂贵的线下班性价比很不错。
等准备好了再“实践”？
李笑来老师有一个观点，学习任何一个学科的时候，都有一个概念很重要：
最少必要知识
MAKE : Minimal Actionable Knowledge and Experience
就是说，当我们在学习某项技能的时候，就要用最快的时间摸索清楚最少必要知识 （MAKE） 都有哪些？ 然后迅速地掌握它们，这样就实现了“快速入门”，然后就可以开始动手实践，然后在实践中印证理论、加深理解，同时继续扩展学习。
同样的时间，一个用来等待，另一个用来践行，两者的差距可能是天壤之别。你要知道没有任何考试是在你准备充分了才开始的。
有些人喜欢等待，等到合适的时机出现的时候，再采取行动。另一些人则喜欢边做边想，有不足的地方就改进，有新的问题就解决。
一段时间过去之后，后者可能已经前进了很长一段路程，而前者多半还在等待一个“恰当的时机”。
我原来就有这个问题，老想着先体系化学完某门技术…结果就是坚持不实践，过了很久还是啥都不会，反而之前看的那些知识因为没实践过也都忘了。
用和学，用比学重要。用时比学时重要。“用时”是一个很好的概念。
很多人说自己“学”了那么多年英语，但现在依然说不出，听不懂。其实他们就是在用“学时”代替“用时”来计算自己的付出的。
我们总说有效学习，其实衡量有效学习最好的方式就是：计算使用的时间。在安全技术学习上，就是：实践的时间。
从“想到”、“学到” 到 “做到”
“用”比“学”重要；“做”比“想”重要；边做边想，比单纯想想不知道好多少倍。只有做到了才是掌握了。“人至‘践’则无敌”。
只要你开始做，高估或低估的困难就不仅仅是一个估计，而是一个摆在面前需要解决的现实问题。你对于它的理解不会再飘忽不定，而会变得非常具体。
很多人在做得不好的时候，总是喜欢退缩回原来的舒适区，认为是由于自己的基础还不好所以才这么不顺利，而忘记了这些践行过程中的困难，才是真正帮他们打牢基础的过程。
很多人梦想找到一个牛逼的师父，几天速成然后笑傲江湖。可是每一个真正练就一身武艺的人都是靠冬练三九夏练三伏这么过来的，他们靠着一种忘我的热情持续投入进去磨练，数年如一日，最终自己也不知道怎么就发现具备了无坚不摧的实力。 同样，就算是要开好挖掘机，或着当一个好厨师，也要在自己的技能树上，一步一步地积累技能点，把过路点都点满了，才能点出大招。
我们从小到大往往会听到长辈们的建议：“戒骄戒躁”。虽然“戒骄”放在前面，但“戒骄”其实是有了一定成绩之后的事情。对大多数人来说，首先要“戒躁”，才有机会“戒骄”。
一个人能获得的最可贵的能力，都和掌握一门语言一样，你所付出的努力不是能够获得即时回馈的，甚至在很长的一段时间内没有任何收获，直到积累到了一定的阶段后，忽然爆发出惊人的力量，连你自己都不清楚这一切是如何发生的。比如锻炼身体，读书写作。当你经历了足够的量变终于引起质变时拥有的技能，大部分人是终身难以企及的，不是因为他们太笨，恰恰相反，因为他们都太聪明了。选择一个正确的方向，对那些无法立即获得回报的事情，依然能付出十年如一日的专注和热情，最终的结果也许不足以让你独孤求败，但足以出类拔萃。
祝表弟早日成为表哥，然后带带我~
本文相关链接资源整理：
转载请注明出处 ：sosly 菜鸟笔记
也欢迎关注微信公众号：sosly菜鸟笔记
喜欢该文的人也喜欢未开启cookie无法登录使用i春秋的完整服务，请设置开启浏览器cookie
隐写术及相关技术分析
14课时289分钟
【"百度杯"沙龙】一个CTF出题人的血泪史
1课时36分钟
【“百度杯”沙龙】CTF的“里”与“外”
1课时20分钟
CTF入门指南
3课时47分钟
CTF PWN选手的养成
6课时117分钟
CTF竞赛中的MISC（杂项）实训
3课时100分钟
IoT Pwn赛题培训
6课时104分钟
CTF竞赛中非传统应用的逆向和加固
1课时12分钟
安卓逆向分析技术简介及相关CTF题目解析
5课时142分钟
CTF逆向简介
4课时82分钟
Web狗如何在CTF-Web的套路中实现反套路
2课时71分钟
战争已打响！还不来了解XMan夏令营？
1课时16分钟
Web狗在企业的生存之道
3课时73分钟
CTF与人才培养学习规划指南
1课时18分钟
安全研发学习规划指南
1课时25分钟
无线安全学习规划指南
1课时12分钟
二进制安全学习规划指南
1课时25分钟
Web安全学习规划指南
1课时14分钟
Web狗如何速刷补天排名
1课时29分钟
“百度杯”十一月赛题解析
9课时145分钟
北京五一嘉峪科技有限公司
海淀区中关村软件广场C座
京ICP证150695号
京公网安备37号Web 安全入门-书籍及建议 - 简书
Web 安全入门-书籍及建议
（本文源于转载或摘抄整理）
Fooying 优主张
最近比较忙，灵感稍微有点缺乏，本着宁缺毋滥的想法，所以一直也没憋出一篇文章来，希望大家见谅，想了想，整理了一篇关于 Web学习的文章，因为总有人会问类似的问题，所以想着直接整理下以前回答以及自己的一些经验，我想对大家的学习应该有一些参考价值！这是该系列的第一篇，后续应该还有有工具等其他篇。
我接触安全行业有8年了，在高中的时候开始感兴趣并且学习安全的，启蒙老师是《黑客X档案》以及《黑客防线》，后来才看到的《非安全手册》，基本刚开始的时候，很多人学的估计都是网吧黑客（万象之类的）、黑站（很多人估计第一个黑的就自己学校的），我也不例外，反正在网吧免费上网的那段日子是快乐的，至今还印象很深刻，挺怀念那段日子的，那时候留校，每周的生活费基本就花在买书上了，虽然生活周边找不到志同道合者，不过在网络上有一堆朋友。
其实在我接触安全之前，我最早接触的是编程，我记得最早学的是我姐他们上课的书，是谭浩强的《C语言》，再后来参加信息奥赛，学的 Pascal，以及后面自学了 VB、Delphi（这个还是受啊D注入工具影响的）、C#、Python等，甚至于易语言我也学了，还用了挺长一段时间。
所以首先要推荐的是编程，我觉得学习安全必须得掌握一定的编程，本质上，Web 开发与 Web 安全是不分家的，所以说要求掌握一定的 Web 开发能力，顺带一些脚本开发、数据库查询能力：
1、基本的HTML/CSS/JavaScript
前两者就不说了，JS 推荐书籍《JavaScript DOM 编程艺术 》
我觉得 Python 是身为黑客必备的编程语言，推荐书籍《Python 核心编程》，现在中文版最新应该是第三版，至于有同学会问学2.x好还是学3.x，我的建议是学3.x，虽然现在很多老的代码是2.x，不过3.x是趋势，另外其实不管是3.x还是2.x，掌握一个，再切换都很容易
3、结构化查询语言 SQL
SQL 的学习是必要的，比如说 SQL 注入，就要求前提掌握 SQL，因为我没有专门的去买书学过 SQL，大部分是通过网上资料自学，因为没看过，所以没什么书籍可以推荐，推荐下w3school的教程，
编程方面就推荐这三部分把，我觉得是基本的必须要学的，其他的比如 PHP，我觉得也很有必要，比如 PHP注入、PHP代码审计等，还有 Web 漏洞里常见的有 Struts 漏洞、Java反序列漏洞，是否 Java 也需要学下？我觉得精力有限，因人而异，也看自己的方向，更多的看自己在学习、研究过程中的需求，碰到不懂的就加强下，就针对性的去学习，但不可能说追求所有都精通之类的。
后来的话，陆续也看了一些 Web 安全方面的书籍，相关的书籍比较多，我就不一一列举了，就推荐一些我觉得不错的中文书籍（因为我英文不好，虽然也看了几本英文书，但是还是不好意思推荐）：
1、《Web 前端黑客技术与揭秘》 前端黑客必备，cos 和 xisigr 出的书
2、《白帽子讲Web安全》道哥出的书
3、《黑客攻防技术宝典-Web实战篇》
4、《Web之困》
5、《Web应用安全权威指南》
6、《SQL注入攻击与防御》
7、《XSS跨站脚本-攻击剖析与防御》
这里同样不展开，在细分领域也有不同的书，具体的我也不多做推荐了，这里关于 XSS 特别推荐下 PKAV 团队整理的思维导图 (), (), 关于PHP 方面推荐下 80vul，也就是黑哥他们团队的成果：
其他的一些我觉得需要学习或者了解的：
1、需要掌握 OWasp Top 10，包含原理、测试方法、防护方法()
2、需要了解掌握网络请求
3、掌握使用一些安全工具（后续文章）
4、学会关注、分析漏洞和编写 PoC
5、关注一些网站，关注最新的安全/漏洞动态、技术（后续文章）
6、关注一些安全圈微信公众号/专栏等
7、Twitter 是一个获取最新漏洞、最新技术点的好地方，前提是你要关注些大牛（这个后续考虑单独文章来讲）
8、安全公司/甲方公司安全团队除了人品之外，更多时候看中的是个人的实战能力，以及做过的一些事，所以建议可以适当的刷一些 SRC（后续整理列表）、写一些漏洞分析、PoC等
9、虽然我不想承认，但是适当的参加一些 CTF 也是不错的
10、融入这个圈子，比如参加一些安全会议等
接下来，推荐几个我觉得可以作为参考的技能表、知识整理和问答：
1、 来自我们团队的知道创宇技能表，当前最新版本 3.1（点击『阅读原文』访问）
2、零基础如何学习 Web 安全？
3、西电信安协会-技能时间轴
4、i 春秋学习规划图
整理来说，如果一定要让我给一个路线的话，我觉得按照我从上到下的路线去学习，以及最后的建议去掌握这些技能即可，当然，文章中可能还欠缺一些内容，比如工具的掌握等，后续会继续写，大家可以关注我后续的文章。
然后，最重要的，更多时候，我觉得光看不练是没有用的，用黑哥的话『做』，所以不止是学习，更多的时候去动手操作，去实践。
用两张图告诉你，为什么你的 App 会卡顿? - Android - 掘金 Cover 有什么料？ 从这篇文章中你能获得这些料： 知道setContentView()之后发生了什么？ ... Android 获取 View 宽高的常用正确方式，避免为零 - 掘金 相信有很多...
用两张图告诉你，为什么你的 App 会卡顿? - Android - 掘金Cover 有什么料？ 从这篇文章中你能获得这些料： 知道setContentView()之后发生了什么？ ... Android 获取 View 宽高的常用正确方式，避免为零 - 掘金相信有很多朋友...
Java 基础思维导图，让 Java 不再难懂 - 工具资源 - 掘金思维导图的好处 最近看了一些文章的思维导图，发现思维导图真是个强大的工具。了解了思维导图的作用之后，觉得把它运用到java上应该是个不错的想法，这样回顾知识点的时候一目了然，快速知道自己的短板。 思维导图...
如何成为一名黑客 http://www.0x08.org/docs/hacker-howto.html#hacker-howto 埃里克·史蒂文·雷蒙德 Thyrsus企业
Copyright (C) 2001 Eric S. Raymon...
概述 之前的文章《我所看到的安全行业趋势》中，给大家分析了安全行业目前的发展趋势以及安全防御和渗透攻击两端不同的技术栈需求。在这篇文章里面，我们聚焦以下常见的安全行业求职和职业发展问题： 安全行业如何区分？安全岗位到底有哪些？不同安全岗位的技术需求和岗位职责有什么区别？适合...
你很爱很爱的人离开了，没有人告诉你，慢慢的你才知道，可是这时候他已经走了很久很久了，在这一刻，你心痛吗？
你的心会不会像是被千万支针扎那般疼痛，痛到无法呼吸，这一刻，你应该已经全然无暇顾及他人为什么不告诉你事实的真相让你去见他最后一面送他最后一程，道一声再见，然后说再...
2013年，90后男子只因“不好意思拒绝”参与团伙抢劫，因涉嫌抢劫罪而被起诉。 2015年5月，福州男子不好意思拒绝朋友，竟想用假的房产证作抵押,因涉嫌伪造证件被拘留。 2016年11月，在沪蓉高速公路夷陵段，司机面对两位俄罗斯美女请求坐顺风车，没好意思拒绝，在高速公路出口...
一、大端模式和小端模式的起源Big-Endian和Little-Endian的定义如下： Little-Endian就是低位字节排放在内存的低地址端，高位字节排放在内存的高地址端。 Big-Endian就是高位字节排放在内存的低地址端，低位字节排放在内存的高地址端。 举一个...
女儿趴在我怀里舒服地睡着。看着女儿粉嘟嘟的小脸蛋，心里的爱就要溢出来。对于一个男人来说，此生最幸福的两个时刻，一是遇到了心爱的姑娘，一是跟她生一个小情人。 有人说，“一辈子一定要有个女儿！”很多男人有了女儿之后，立马沦为了“女儿奴”。就连叱咤风云的体坛硬汉贝克汉姆，也在其公...
很多女性都知道，柠檬是一种富含维生素C的水果，也是天然的美容食品。 如果能好好发挥柠檬的特性，就可让它变成极佳的瘦身圣品，让女士们在享受柠檬的美味时，也能拥有美貌和好身材。 1.美丽窈窕柠檬汁。 1升凉白开或矿泉水里加上柠檬原汁，调成浓度适当的柠檬原，并置于冰箱里，待温度降...