（转）关于信息安全专业在大学是学？（答主二向箔安全）

//大哥喊我来分享下经验~就来强答一波~

//成都信息工程大学在读，没错，最高赞答主肉肉学姐的直系学弟~

学校在15年升为大学，我是16级信息安全实验班的，但课程体系，和肉肉姐当时的情况是一样的，可以去参照那篇回答。而这篇回答，我可能和其他答主不太一样~这次我想从实际就业或者是技术的角度来分析一波。

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
国内95%CS（计算机相关）的学校教你的东西，其实只是告诉你这个领域有些什么，并不能支撑你得到一个较好的职场起点、开启技术生涯。

错不在学校，而在于这个行业的特殊性。技术更新迭代太快。哪怕你只是想在一个细分领域（比如我所在的JAVA代码审计，或者其它的内网、浏览器方向）跟上行业前沿的步伐，都是一件消耗大量时间和精力的事情。老师们上有老下有小、还要给你上课，很少有时间去跟。更何况学校的培养计划，也需要一个稳定性，不可能实时根据行业情况调整。

于是出现了C语言仍然在用VC6，网络攻防也只能浅尝即止，讲讲N年前的00截断上传~因此，我觉得“关于信息安全专业在大学是学什么？”这个问题，其实更需要关注的，是我们课余时间应该怎么学，以及如何协调自身技术方向与学校课程。

下面我们来挨个解决这两个问题，而一切的最终目的，就是以一个信息安全专业的学生身份，在毕业时能拥有被行业认可的实力，能够融入到国内的技术圈子。

一、课余时间学些什么？怎么学？
大部分人是进入大学之后才开始认证对待信息安全的，之前可能玩儿过外挂或者薅过羊毛，但大部分都只是小打小闹（少数大牛请忽略我并鄙视我……）。与此同时，信安的领域又很广，入门的方式很多很多种，这个时候，我的建议是，先找个榜样去模仿。而且最好是本校的，找几个本校的大牛，看看他们当年怎么入的门，然后思考一下，选择一个最贴合你当前情况的，看上去最靠谱的，去模仿。这样可以防止走偏。把自己闷起来硬搞，很可能会钻到牛角尖里出不来。如果实在本校找不到，也可以去其它学校找，反正信安本就是一个互联网领域，交流起来不会有太大问题。

初学者需要一个基本路线来入门，而这个路线，最好是学长学姐亲身验证过的，确定没问题的。

我们学校的话，入门基本上是分两个路子，一个是Web，一个是逆向。最最简单的理解，就是Web黑网站，逆向破解软件。

我马上大三，带过大二（17级）的一波人，逆向我不太清楚，我们小组的逆向是春春学长和林沁小姐姐在管，Web方向的话，基本上，是以下的路线：

刚开始的时候，会要求学习一点HTML/PHP基础。
然后开始了解SQL注入、XSS等基础漏洞，打一打DVWA或者BugKu这一些靶场。
之后会打一些简单的CTF比赛。
学一些Python编程，尝试要求他们去写一些Py脚本。
搭一些内网的环境以及CTF线下的环境，去进行训练。
怂恿新人去刷SRC，挖CVE编号（Web的很好挖）
完成以上几点之后，差不多就可以入门了。而入门之后，每个人都会养成自己的学习方式，找到自己的兴趣点，后面就顺其自然了。

这个时候，有一点要注意了，这个‘带’可能和你想象中带不太一样。‘带’学弟学妹的方式，其实更多地是分享入门经验，分享对一些技术的观点，以及指明路线、监督成果。大学里，是没有人手把手地去教你搞技术的，哪怕那个大牛脾气再好，哪怕学弟/学妹再受欢迎。

这个道理很简单，每个人时间都是有限的，每个人都有自己的方向、自己的目标需要去追逐。是的，学长学姐有分享精神，这也是大家愿意去分享入门经验、分享自己擅长的技术知识（以技术分享会的形式）、倾听学弟学妹困扰并给出建议的原因。但像高中老师那样，手把手和你说第一步先怎么操作，然后再怎么操作，不可能。一个原因是耗时，在没有规范地教学模式的情况下，手把手教会一个人写Python脚本，至少要花一周的业余时间。另一个原因是没用，信安方向和高中解数学题不一样，背会的套路很可能因为环境的一点点改变而失效，只有自己根据原理，摸索道路，再深度理解原理，才能灵活运用所学知识，解决问题。

在找到路线之后呢，也要充分把握周边环境，让自己处在一个较为合适的技术环境中。比如学校会有信安实验班、技术小组、或者老师带队的实验室。这些地方会汇集学校的一些项目资源和学习资源。我所在的道格小组的话，会要求定期交学习周报、开分享会，学长们会搭一些靶场，去定向地进行训练，比如我们在上学期，练过2次AWD，3次域渗透。同时，慢慢地，通过投稿、打比赛、刷SRC，你也会开始认识很多校外的大牛，通过与其的对比和合作，会让你更有动力地行走在信安道路上。

同时也要利用好网上的资源，不局限于校内。利用好以下资源：

靶场，之前总结过一点信安的靶场，可以作为参考。（https://www.zhihu.com/question/267204109/answer/320502511）
国内的一些优秀的安全媒体，比如先知、安全客、二向箔、Sec-wiki、Tui-SEC
大佬的博客，这个阶段就不限于本校以及学生了，可以多找找国内知名大牛，比如余弦、杨卿、TK教主等，甚至国外的也可以。在文末我会分享出我收藏的大牛博客。

多去参加高质量的CTF比赛，多关注安全媒体和大佬博客，了解他们在做什么事情。之后就可以建立起自己的知识体系。

二、如何处理自己的技术学校与学校的课程安排

个人认为，要顺水行舟，不要逆流而上。大学里的课程确实和实战有些脱轨，但它向你展示了一个大概的路线，比如最开始要学C语言，VC6确实low，题库里的题确实无厘头，那我们可不可以自己业余扩展呢？把《C Primer Plus》刷完，网上找个教程，尝试自己用C写ghost？只要学习方法没问题，还是有大量的业余时间可以去扩展自己的技能的。

而且大学的老师一般都比较开明，至少成信大，如果你开始用C语言写ghost了，和老师沟通一下，完全可以上课不听那些基础语法，做自己的事情。甚至老师会很兴奋地和你交流，帮助你更快地掌握C语言。C语言功底在那儿，期末考试前，花两个晚上刷一下题库，95+也不是很难。
其

它的技术课程也是类似的，比如数据库，学校教的SQL Server，而且很浅。那是不是我们可以业余学一些Mysql/Oracle甚至Mongodb？

学校教网络攻防？干脆试着渗透一下教务处？扩展、深入，才是学校课程的正确打开方式。

而高数、英语这些基础课程最好也不要落下，不然之后，别人用机器学习自动化分 webshell 的时候，你只能手动去点。当别人无障碍在blackhat的议题上学习知识时，你只能望着抠脚等好心人翻译。之前在另一个知乎问题上收获了一个观点，“基础学科，决定不了你打仗的能力，但打起仗来，你是一个武器专家还是一个冲锋员，取决于你的基础学科是否扎实”。

无论是自学还是跟老师学，该完成的作业自己完成，期末前乖乖收心好好复习，分数总不会太差。如果恰好自学能力足够，还能考个好成绩，拿点奖学金回来。

像成信大，绩点上3.5的话，下学期就可以申请免听。合法逃掉那些你已经掌握的课程，比如数据库，再比如Java、C++这种自学效果更好的。

多和老师沟通，甚至在某些项目上相互合作，亦师亦友；学校课程尽量考高，至少不挂科。这样一来，在收获知识和友情的同时，你的技术之路也会顺畅很多。

那么问题来了，按照上面所说，我好像没时间去打游戏、娱乐了啊。现在的游戏设计得很棒，像一个崭新的世界。一个个优秀的游戏作品，构成了一个个优秀的世界。同时，现实生活也是一个游戏，是一个更复杂、更精彩，同时也充满了各种无奈和磨难的游戏。

想要玩儿好游戏，当然需要时间去训练技巧，当然需要时间去打怪升级。如果你可以同时可以DNF/LOL打得很6，那你是个人才，如果你可以协调好DNF和LOL的时间分配，生活也会很惬意。但如果天资有限，还是建议选择一个你最喜欢的游戏，投入你全部的精力和时间。

你觉得嘞？

附上之前提到的大牛博客以及优秀安全媒体（社区）列表：

Blog

Web

http://pupiles.com/ ——>Pupiles blog

http://momomoxiaoxi.com/ ——>小西的博客 | Xiaoxi’s Blog

https://evilcos.me/?p=336 ——>我的渗透利器 – EVILCOS