我是双非二本网络工程专业转网安，开学就是大三下，现目前断断续续接触渗透测试已经有小半年时间，这里分享一下我的学习经历及学习笔记。

一、为什么会选择网络安全这个方向？

        讲真的，在刚步入大三时，我还是对自己的未来一片茫然，因为在大一开学前，我一个西南交大计算机专业毕业的哥哥，就嘱咐过我让我好好学，等大三的给我内推实习，原本我的想法就是跟着学校的课程学习数通，再考个中等的hcip证书，刷一段实习经历，毕业找个运维的工作。就在这时一个培训班的电话彻底打醒了我，电话里向我介绍了网工转网安的优势，以及他们那儿的网安就业培训班，一开始我并不以为然。后来，我的脑海里就一直开始浮现，毕业之后我到底应该干嘛，我开始明白如果一直这样按部就班的学习，一个专业的同学，大家都做同样的事，那凭什么这个公司会要我而不要他。我开始向我的那个哥哥请教，通过他我认识到一个现目前做网工的另一个哥哥，我开始向他了解近几年网工的行情并第一次听说了渗透测试这一名词，即使他说这一行比较难，我依旧没有退缩，想着反正平时课余时间还算充裕，就试试看。

        随后就变得一发不可收拾，我开始了解网络安全，游走在几家培训机构中间，打听网络安全这一行业的优势，打听渗透测试这一方向的学习规划，但是我还是没选择任何一家培训机构，当然培训价格是一因素，但最主要的还是大多培训机构的培训时间都安排在暑假线下学习，这与我暑假实习的想法相背。

二、自学经历

        在25年10月末，我正式开启了网络安全渗透测试的学习，我是跟着b站上的小迪的培训视频一步一步学到至今，不得不说即使他在b站上的开源视频有一定年代，但丝毫不影响渗透测试的思路学习。期间还参加了全国大学生网络安全精英赛并成功进入复赛，免试拿了nisp一级证书，打下了网络安全知识的基础，但在校期间因为由于专业等其他课程需要学习，导致自学进度较为缓慢。

        11月-12月，有幸参加了奇安信的产品交付岗位的短期项目实习，即使不是技术岗，但依旧收获颇丰，但自学进度又被耽搁。

        12月，实习回来，学习再次步入正轨，期间还参加了华为ict的复赛并获得四川省三等奖。之后通过老师转发分享，报名了国信安的网络安全寒假冬令营。

        1月中旬，参加冬令营为期10天，了解学习到sql注入，文件上传，php反序列等漏洞的原理并学习了如何搭建靶场进行实操以及各工具的使用（这里第一次觉得有人带与自学的区别，在之前我自学时，下载一个破解的burpsuit都花费我差不多一天才搞定，需要解决的环境版本等兼容问题就把我搞得头大，而有人带什么都是打包好的。），总而言之这10天学到了很多。

        2月-3月，跟着小迪的课程持续学习，边学边练，将web漏洞部分全部吃透。

三、所学习到的小迪安全课程内容

        前期包括网络安全的基础名词知识、数据包扩展、操作系统、数据库、加解密、和信息收集等基础介绍，主要用于了解大体的基础知识体系。后续通过对sql注入、文件上传、xss、csrf、反序列化和逻辑漏洞等，包括原理、危害、工具的使用、waf绕过及防御措施等一系列的深入学习，期间还伴有本地环境靶场测试和真实环境实战案例，进一步对web渗透有了深刻的认识。

        总体来说，虽然小迪在b站上的视频课程算是比较老的开源视频，但的确是能找到的免费的渗透测试这一方向最好的入门视频了，我一直相信只要坚持学习并跟着实际操作就一定会有所收获。

四、未来展望

        我深知自己的实战能力还不够，所以现已报名考取cisp-pte证书的培训，最早四月份考试，通过大量的靶场练习，全力备考，考试后优化自己的简历开始试着投渗透测试工程师的暑期实习生岗位。丰富自己的履历，希望在秋招能有自己的一席之地。也希望自己能在网络安全的这条路保持学习热情，持续地走下去。

五、资源分享

        我的学习笔记总结都是在一位大佬的学习笔记基础上补充或精简，这里附上他的笔记链接https://www.yuque.com/weiker/xiaodi/hcooigidu99ll33b及我的笔记的pdf及其他小迪课程中涉及到的其他资源。

         WAF攻防实战笔记https://www.yuque.com/office/yuque/0/2024/pdf/2476579/1712580625925-3d9b698a-aa42-42a1-b392-848d93ac023d.pdf?from=https%3A%2F%2Fwww.yuque.com%2Fweiker%2Fxiaodi%2Fay5ige0mva8qme4v

        sql注入天书（csdn上都能找到），Web中间件常见漏洞总结（小迪的博客上下载）。