一 通用计算机基础
编程语言与算法:至少精通一门主力语言(如 Python/JavaScript/Java/C++),系统掌握常见数据结构与算法(数组、链表、栈、队列、哈希表、树、图;排序、搜索、动态规划、贪心),能写出可维护、可测试的代码。
操作系统与网络:理解 Linux 基础命令与进程/线程/内存模型,熟悉 TCP/IP、HTTP/HTTPS、DNS 等协议;具备抓包与故障定位能力。
数据库与缓存:掌握 SQL(增删改查、索引、事务、范式)与至少一种主流数据库(如 MySQL/PostgreSQL),了解 Redis 的基本使用与缓存策略。
版本控制与协作:熟练使用 Git(分支、合并、冲突解决、Rebase)、代码托管与协作流程。
云与容器:了解 AWS/Azure/阿里云 基础服务与 Docker/Kubernetes 的部署与监控,具备基础 DevOps 意识。
工程化与质量保障:熟悉主流框架(前端 React/Vue,后端 Spring Boot/Django/Express),掌握 CI/CD、单元测试与代码规范。
二 方向加分项与工具栈
| 方向 | 关键能力 | 常用工具/框架 |
|---|---|---|
| Web 安全 | SQL 注入、XSS、文件上传、命令执行、目录遍历、SSRF、WAF 绕过 | Burp Suite、SQLMap、浏览器开发者工具、Fiddler |
| 逆向工程 | x86/x64 汇编、IDA Pro、x64dbg/OllyDbg、脱壳、反混淆 | IDA Pro、Ghidra、x64dbg、Radare2 |
| 密码学 | Base64/Hex/Rot13、凯撒/维吉尼亚/栅栏、MD5/SHA1/SHA256、AES/DES、RSA | OpenSSL、Python/Crypto 库、Hashcat/John the Ripper |
| MISC 杂项 | 图片/音频/压缩包隐写、流量分析、取证入门、编码与进制转换 | Stegsolve、BinWalk、Foremost、Wireshark、ExifTool |
| 数字取证 | 文件恢复、日志分析、内存取证、PCAP 重组 | Volatility、Recuva/PhotoRec、Autopsy、Wireshark |
三 项目与实战路线
入门阶段(1–3 个月):夯实一门主力语言与 Git;完成 Web 基础 + MISC 基础 小项目(如博客系统、CTF 入门题);用 Docker 打包与部署。
进阶阶段(3–6 个月):深入 Web 漏洞利用、逆向基础、密码学核心;组队参加校级/线上赛;沉淀 2–3 个可展示的实战仓库(含设计文档与复盘)。
竞赛/求职阶段(6–12 个月):突破各模块进阶(框架漏洞、WAF 绕过、二进制漏洞、协议分析),练习综合题与历年真题;完善 简历/作品集/竞赛证明,准备系统化面试问答。
四 高效学习方法与评估指标
以赛促学与刻意练习:围绕高频题型做“刷题—复盘—变式”闭环;建立错题本与知识图谱。
工具熟练度量化:为每类工具设定可度量目标(如 Burp Suite 拦截与重放、IDA 函数定位、Wireshark 过滤与追踪)。
代码与工程质量:单元测试覆盖率 ≥ 80%,静态扫描告警清零;坚持 Code Review 与规范。
文档与复盘:每个项目输出“目标—实现—问题—改进”四段式文档;每周进行一次系统性复盘。
学习资源建议:系统化课程与题库、权威书籍与在线教程、开源社区与竞赛真题联动学习。
