學習滲透測試其實就是那麼簡單

這篇文章面向入門的同學，更偏向於學習的方法，而非滲透的技巧，請看準需求再往下讀。我是SINESAFE網站安全公司的技術，水平有限，所以自然親民，和很多滲透測試新手都很熟。他們中的大多數都是大學生，還有很多年的工作，但一直對網路安全保持著熱情。很多同學都很努力，但怎麼也找不到一條通順的道路，順利地入門成長。滲透測試僅僅是電腦科學中一個很小的分支，它和其他學科一樣具有相同的計算機基礎。

不能入門，對於80%的初學者來說，其實基礎都不夠。其中有幾個學生是剛剛進入大學大門，不知道該通過哪一門考試，懷著探索神祕世界的心情，面對著黑洞。很多情況下，實際上是我們的教育出了問題，電腦科學專業(甚至更直接的網路安全專業)的日常教學和實踐讓大部分學生學不到東西。沒有計算機的基礎底子，直接面對滲透測試行業當然很困惑。對著這些同學，我自然不能從電腦原理、作業系統原理、編譯原理、程式語言、演算法與資料結構、網路基礎、加密與解密...這一堆西裝革履的東西，再來學習滲透測試。不過幸運的是，他們的興趣還在，可以利用自上而下的方法，找到一個簡單的切入點去學習，引導初學者通過自己的努力，70%的自學+30%的理論，進入滲透測試之門。下面的圖表就是這種想法的基本學習思路。

理解滲透測試的系統結構是第一步，從整體上理解這項技術，避免從一入門就走錯了方向。培訓的切入點是使用工具，工具門檻低，容易上手，能帶來成就感。培養在使用工具過程中對滲透測試的流程和基本測試方法的學習，對技術概念和應用體系結構、協議、原理的理解和感性理解。

程式設計是一條重要的分水嶺，但也要採取容易入門的方式來學習和培訓程式設計，入門即可，拋棄那些難懂的概念就好了。實施工具和應用，這是在程式設計的基礎上，直接上手做函式，在這個過程中，對程式設計技能的提高起到加深作用。從程式碼中瞭解工具、漏洞和應用程式本身。計算機基礎知識的學習，在整個過程中，通過多輪輪詢的方式，使一些專業概念逐漸加深。如果能夠用程式碼實現一些基本的工具，並將它們用於實際的滲透測試任務，那麼我認為入門的任務就完成了。接下來我們將對這個基本過程和目標進行進一步分解。如果想要做滲透測試服務來檢測網站或APP的安全性，可以像國內的網站安全公司如SINESAFE,鷹盾安全，大樹安全，非凡盾來做深入的安全測試。