write in my dormitory at ??9:47:05 Friday, April 7, 2017 by giantbranch（其實當初想橫跨web跟二進制的）

————致即將畢業(yè)的自己。

總覽

大一：基本都在學習學校的課程，C語言，C++，高數(shù)啊，不過分數(shù)還可以，在大一復習周還在php3小時光速入門呢

大二：web開發(fā)，大概在下學期5月份這樣子開始web安全

大三：開始去參加比賽,刷題，學習各種ctf需要的知識，后期也接觸了逆向

大四：繼續(xù)學習二進制知識，分析各種漏洞，當然也有搞web，還參加世安杯，藍盾杯總決賽，鐵三數(shù)據(jù)賽

前情回顧

我并沒有像別人那樣小學初中或者高中就已經(jīng)在搞安全，那時候我們都在應試教育，或者沉迷游戲不能自拔吧，初高中我也是沉迷游戲，那時候也中病毒什么的，最多也會搞個360殺殺毒，重裝系統(tǒng)什么的，自從有了第一次重裝系統(tǒng)，之后一言不合就重裝系統(tǒng)，其實當時也想過別人是怎么入侵電腦，入侵網(wǎng)站的，不過可能是環(huán)境和機遇的原因沒有走上這條路。

后來高考要選專業(yè)了，其實當時是一心想考個好分數(shù)，也沒考慮過選個什么專業(yè)，再過幾天就要選專業(yè)了才去考慮的，選專業(yè)當然要自己喜歡的，我左思右想，我小時候不是很喜歡拆解各種小電器嗎，也許對硬件會感興趣，第一志愿報了電子科學與技術(shù)（而且后面的有網(wǎng)絡(luò)工程啥的，就是沒有信息安全），最后由于分數(shù)沒夠，沒能去到那專業(yè)，由于是服從分配，分配到了有點關(guān)聯(lián)的專業(yè)——信息安全專業(yè)，其實來之前對這個專業(yè)基本沒多少了解的。

Web開發(fā)之路

到了大學也不是一上來就沉迷信息安全學習，不能自拔，因為其實我們一開始跟軟工上的課都是一樣的，那就老老實實學C語言，高數(shù)，什么的。那又是如何接觸到Web的呢，那是因為加入了計算機協(xié)會，其實在我們這組織并不是很厲害，只不過是當時有個活動是給協(xié)會會員講課，我選擇去講網(wǎng)頁開發(fā)，當時找了個Dreamweaver開發(fā)網(wǎng)頁的教程，可以說是可視化的Web開發(fā)，非常的簡單，從此就走上Web的坑咯。

其實大一還加入了電腦義修隊，哈哈，一言不合就重裝電腦，在大一快結(jié)束的時候被另一義修隊員拉到一個校園微信公眾號的一個團隊去搞微信開發(fā)去了，自此走上web開發(fā)之路。什么查天氣，發(fā)定位測距離就是入門的一些小實例，挺好玩的。之后在公眾號里面開發(fā)了查校園網(wǎng)上網(wǎng)參數(shù)，失物招領(lǐng)，基于WeCenter的微信問答系統(tǒng)等。

這公眾號憑借著師兄開發(fā)的查電費功能迅速“走紅”，學校某個部門領(lǐng)導就發(fā)現(xiàn)了我們這個技術(shù)團隊，所以后來就給這個部門開發(fā)了3個web，我寫后臺，當時主要是為了學習，也沒用什么框架，確實也是學到了東西。

但是由于沒用框架，當時無論是教程還是自己都是沒有安全意識，觸發(fā)了一個重大事件——自己開發(fā)的web網(wǎng)站被人報wooyun了。其實就是新手開發(fā)網(wǎng)站存在最經(jīng)典的問題，我的問題存在于新聞詳情頁存在sql注入，更加坑爹的就是使用root連接的數(shù)據(jù)庫，服務(wù)器直接被拿下咯。除此之外，還有明文儲存密碼。

web開發(fā)陸陸續(xù)續(xù)干了一年，對接下來的web安全之路的作用無疑非常巨大，可以說是web安全之路的“催化劑”。

Web安全之路

由于那次入侵，我就嘗試根據(jù)WooYun提交的報告，復現(xiàn)了一次報告者的入侵過程，收益良多。

況且由于我的專業(yè)是信息安全，由此踏上了Web安全之路。

之后在合天網(wǎng)安實驗室“瘋狂”做實驗（那時候i春秋還沒出來呢），還申請當了內(nèi)測人員（新出的實驗免費做，不過要寫評價，還有實驗中存在的問題等），之后邀請了合天網(wǎng)實驗室來了一次見面會(http://www.hetianlab.com/html/news/Geek-jnu.html)，之后還搞了個合粉俱樂部，再之后就向合天投稿了一個實驗(http://www.hetianlab.com/expc.do?ec=ECID9d6c0ca797abec2016092116115600001)從而成為了一位實驗設(shè)計師了。

其實最重要的就是參加比賽，一有機會就報名參加，每次都是我們3個人報名，我們3個隨便誰一看到有比賽，就馬上相互提醒要報名，不管題目難不難，至少也得看一下，不行就賽后看一下writeup咯。

之后就邊比賽，邊刷CTF的題，還有安排其他一些知識點的深入學習，比如sql注入，xss等漏洞的學習，也深入python的編程。

還有的話就是我也是買了很多書的，看的web安全的書也是比較多了，看了一些后就沒看了，主要是看了之后發(fā)現(xiàn)這個知道，直接翻到下一頁了，一下就看完了。

其實還有一個就是參加了學習的開放實驗，那時是metasploit和XSS，兩個實驗可以選，都是要自學，跟著做出點成績來，后來我就設(shè)計了個逆向與二進制初探的一個開放實驗指導給老師，師弟師妹你們有福了。

其實很難具體講清楚，看我的博客就知道我大概的學習軌跡了。

**但是?。?！**每個人都不一樣，學習資源日新月異，知識也會更新，以上提供的僅作為參考，希望你走出更加牛逼的自己。

轉(zhuǎn)載自：https://giantbranch.blog.csdn.net/article/details/69787883