如何规划？

学习需要一个良好的学习习惯，建议刚开始一定要精通一项程序语言，学习其他的就会一通百通。过程中是按步骤学习，绝不半途看见苹果丢了梨，一定要强迫自己抵制新鲜技术的诱惑。

网络安全其实是个广而深的领域，可以细分为网络爬虫、web安全、渗透测试、自动化运维、代码审计、应急响应等等，至于学什么，就需要看你自己对哪方面感兴趣，正所谓兴趣是最好的老师，注重积累的技术呢。

书籍、平台推荐

《CTFer成长之路》、《Web安全攻防》、《Web安全深度剖析》、《网站渗透测试实战入门》、《黑客免杀攻防》、《汇编、C语言基础教程》等，推荐值得去逛去学习的平台有嘶吼、FreeBuf、Sans Cyber Aces Online、Open Security Training这些都不错呢。

零基础新手的第一步应该是打基础，基础阶段主要学习：Linux基础、系统管理、命令管理、目录知识、文件管理、网络基础、网络协议、HTML、CSS、PHP编程基础、MYSQL等等。

何时准备项目或者比赛

差不多大二开始就可以准备项目了，实时关注一些比赛信息，例如：CTF大赛、强网杯、网鼎杯、天府杯、长安杯等，都是相关的比赛项目，平时的话可以自己在靶场挖挖漏洞，练习一下。

靶场推荐

信息安全行业最注重实践，靶场练习是必不可少的，靶场有很多大牛，还可以定向练习，技术提升了也可以帮助您增加秋招成功的几率。

（1）DVWA

DVWA靶场可测试漏洞：暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证(InsecureCAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站脚本攻击(XSS Reflected)、存储型跨站脚本攻击(XSS Stored)。

链接：http://www.dvwa.co.uk

（2）OWASP Broken Web Applications Project

靶场包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序，所包含的环境非常多，相对DVWA来说更贴近实战，靶场不仅有专门设计的web漏洞应用场景 ，还包含了部分常见的开源web应用程序，相对dvwa不仅有PHP，也还有Jsp、Asp、Python等动态脚本语言环境，而且包含的漏洞种类也非常的丰富，除了常见的web漏洞外，还包含了访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、web服务、Open Authentication失效、危险的HTML注释等，非常适合学习和实践。

链接：https://sourceforge.net/projects/owaspbwa/

（3）sqli-labs（SQL注入靶场）

sqli-labs包含了大多数的sql注入类型，以一种闯关模式，对于sql注入进行漏洞进行利用。靶场漏洞
类型单一，但是对sql注入类漏洞利用包含的很全。安装复杂度与dvwa差不多，安装简单。

链接：https://github.com/Audi-1/sqli-labs
 

（4）VulHub

Vulhub是一个基于docker和docker-compose的漏洞环境集合。

链接：https://www.vulnhub.com/

（5）pikachu（综合靶场）

链接：https://github
.com/zhuifengshaonianhanlu/pikachu

（6）upload-labs（文件上传漏洞靶场）

链接：https://github.com/c0ny1/upload-labs
 

（7）xss-labs（xss跨站攻击漏洞靶场）

基于跨站脚本攻击一个漏洞靶机，也是一款基于通关形式的靶机

链接：http://test.xss.tv
 

（8）WebGoat（逆向靶场）

链接：https://github.com/WebGoat/WebGoat/releases/tag/v8.2.1