1

上大学之前，关于信息安全方面了解的不多，只知道很厉害。受一个作者的影响，当然还有其他一些因素，选择了这条路。面试的时候，我告诉教授，一定会努力走下去。

大一前的暑假，第一次知道了CTF比赛，完全看不懂题目。刚入学时想试着用web for pentester学习网络安全，于是开始试着装虚拟机，装Linux，但是对命令行界面各种不懂。学了C语言，实验课的内容有一定难度，考验算法，最后一边上网查算法，一边码代码，总算是完成了自己负责的题目，还记得有个走迷宫的题目，独自写到晚上九点多，当天作业都没做。还选修了Python，第一年里网上关注了很多业界的大牛，原来他们的生活也很平凡，但是很有意义，令人敬佩。围观了两个神一样的学长，现在都依然只能感叹这是智商的差距。群里问问题时结识了热心的程序猿朋友，有几次晚上帮我调试代码超过了12点，很感谢。学编程初期，有人在调不出代码时指点一二会好很多。

大一的寒假，图书馆借来，看了两三本学长的推荐书籍。
先看了《0day安全》，王清的那本，写的很好，由浅入深结合简单的实验，讲解了漏洞产生的原因还有利用的方法等等。可惜那时完全没有汇编基础，看到缓冲区溢出的exploit部分就停止不前了。开始接触IDA和OD，还有UltraEdit，照着书一步步做，前几个实验确实容易，后来毕竟也不熟悉软件的用法，因为实验环境不一样，找不到书上所指的跳转地址，就搁置了。以后有基础了接着看。
之后原想看《白帽子讲Web安全》，书是好书，无奈对javascript也完全没有基础，书上的代码有些没有注释，因为不知道DOM的知识，所以只能看看文字介绍，代码就看不懂了。道哥是我最早知道的一位大神，他写的黑客传说令我印象深刻。
于是看了同样是网络安全方面的《Web前端黑客技术揭秘》，这本对零基础友好多了，因为给了注释，哪怕完全没有js基础，也能看明白大部分的代码，而且解释的很详细。用一个寒假看了三分之二的书，算是初步了解了XSS，CSRF等等这些概念。

大一下的课程少了一些，但是难度不减。学了C++，单课堂讲的不难，结果考试居然时间来不及，果然是我比较慢啊。因为还有别的社团活动，所以在学校的时间没机会自学很多。围观学长们在土豪的赞助下办了类似CTF的比赛，像模像样，真心佩服。初赛里有一道题是和之前CTF里的一道简单题差不多的，然后找了一下那题的writeup，就知道思路了。还有一道居然是被我猜出来的，不像我一个朋友是老老实实写代码穷举的。随后清华的学神们办了全球性的BCTF，佩服这种词就不多说了，发现台大的学生也都超厉害啊，攻防赛的时候领先了好多，貌似今年的CTF决赛表现也很强。最后就是因为学校选修项目的原因认识了另外一个大二的学长，自学了joolma搭站，跟着网上的教程一步步安装啊设定之类的，虽然后来没多大用，也算是科普了。