中学的情况下触碰到互联网安全，那时总是在网络上下一些专用工具，阿D、御剑、明小子

这些专用工具扫描网站漏洞，找注入点，或是运用他人写好对于某一系统漏洞的专用工具，印

像深刻的情况下是那时候dedecms曝出了系统漏洞，使用那个专用利用工具把我们院校的官方

网站权限拿到了，很刺激，事后许多社区都没有了，或是转商业服务了，从如今看来，学习培

训、视频、书材料愈来愈多了，可以学习培训的服务平台愈来愈多了，可是将会深入安全方向

的并不多了，新手入门而言愈来愈简易了，利与弊共行吧。网站安全了，渗透测试难度系数高

了，门坎高了，实际上是有益于行业的发展趋势的，我认为还是很有钱途，不，有发展前途

的。我只期待这些行业巨头能空出一些有深度的书藉，来照顾一下最底层的小白吧。

 

 

现在我也在积极主动新手入门，并准备之后深入做渗透测试。所以我尽量对于大家的难题表述

一下我的观点。首先，在通用渗透测试中，专用工具从头到尾只是辅助工具，无论是知名的专

用工具还是全新的专用工具，都只是您渗透测试的一部分，您想要立即将其用于注入点或后台

管理，很难发现漏洞。大量地还是靠知识结构、工作经验、实战熟练度及其自身科学研究的深

入去手工测试发觉系统漏洞。

 

 

第二，我反对这样的观点，即当前示例课程的内容越来越不适合今天的互联网，也许你不会去

寻找它，更不用说互联网上的各种新材料了。第三，对于初学者来说，无论是SRC，众测测试

平台，还是他们自己的搭建的环境，在不急于实现的情况下挖掘系统漏洞，都是适合任何人的

。综上所述，提议大家放平心态，继续学习安全专业知识，完善自我的管理体系，并多去实战

演练。Web系统漏洞是挖不完的，渗透测试不易有终点站。

 

 

当然，这儿要多一嘴便是中国渗透测试的大环境：实际上每日探索与发现的系统漏洞远小于程

序猿新写出去的系统漏洞，只可是并不一定的生产商都高度重视安全并想要而为资金投入，导

致中国渗透测试，也就是挖洞的局势不那么明亮，因而中国的全职的赏金猎人远远地小于海外

。因此寻找一份工作中并学习培训发展趋势是现阶段最妥当的方法，发展前途的事儿没有必要

担忧。全部行业门坎提升了并不是好事儿么，那样信息安全工作人员才拿获得匹配的薪资，两

年前心浮气躁了一波，如今四处是信息安全技术专业，可是行业空缺没那么大，有工作能力的

人能取得最好是的服务平台，最好的工资待遇和最好的机遇。这才算是一个行业身心健康的反

映。随后渗透测试之前用他人专用工具，或是别名脚本小子的时期早已过去，如今你得会程序

编写，你得能深入分析系统漏洞造成的缘故，你得会反向。因此就学习培训来讲，再向前走一

走，用心科学研究每一个系统漏洞基本原理，例如把fastjson的系统漏洞看搞清楚，随后能自

身敲代码认证。最后你的持续累积会给你取得成功。不必心浮气躁，这一行业的人较大的特性

是细心。

 

 

安全是无止尽的抵抗全过程，将来总是更精彩绝伦，仅仅这一精彩绝伦只归属于在这个行业深

耕细作和喜爱的人。希望大家看到此篇文章，对渗透测试安全重视起来，如果大家想要对网站

或APP进行渗透测试或漏洞测试的话我推荐几家专业的网站安全公司给大家，像SINESAFE,鹰

盾安全，绿盟，安信科技都是比较厉害的。