想從事關于信息安全的工作？

1、首先最重要的就是知識！

知識面不夠、深度不深，就想著挖洞，這是非常不合理的，不想多解釋。2、多去實戰

小學乃至高中，老師講完課會留練習題給大家做的，這是小孩子都懂得道理。那么，我們在學習了一些安全知識、攻擊技巧、工具使用之后，我們就完事大吉了？這樣不僅無法深入理解這些知識，更容易隨著時間推移快速忘卻，安全之路原地踏步。

最好的狀態是，學習任何一個知識、或者比如在i春秋看到一篇比較好的技術文章，都能快速的構建自己的實戰場景，實戰要做到“快”。之前加過一個好友，最開始學的是sql注入，打算用sqlmap，結果搞了兩天，sqlmap沒有裝上。學習受阻，會極大降低結果產出，甚至不了了之。

當我們實戰還無法快的時候，需要反思問題在哪，快速構建好一個實戰場景，是提升能力的關鍵。不過，不要為了快感而不停的去實戰。某個漏洞已經掌握了，卻還在用這個漏洞不停地刷，這就不對了，去做其他更有意義的事情、學習更多的知識去。

有些人會了幾個漏洞，天天靠著這點經驗去各種小網站挖，他們挖的不是洞，是寂寞。

3、積累經驗

多積累自己的經驗，整理自己的心得，這樣才能對得起自己，不是么？以前烏云在的時候經常有人說，多去烏云看看人家怎么攻擊的，學學人家思路。別人的經驗，是用來學習的；自己的經驗，是用來沉淀的。自己多總結，比如多寫blog，寫多了視野也就寬了，會發現又學會了很多更深入的知識，或者理解的更透徹、更充實。當你不愿積累，只想一路狂奔，你挖的不是洞，是空虛。

4、哪些知識重要？

linux操作系統、網絡原理、數據庫，沒了。

我就想研究web安全，不需要上面知識吧？其實不然，很多XSS的檢測程序都是linux上運行的，你要是想寫一個xss自動檢測腳本，可能也會在linux平臺運行。有些xss，為了快速試水進行測試，可能需要抓包、改包，對網絡不了解，總歸有時候會不順暢。還有這種案例，通過sql注入篡改頁面，最終xss劫持所有用戶。我覺得，linux是安全測試的較好平臺；我們的任何攻擊，離不開網絡；企業的存儲，離不開數據庫。linux：鳥哥的linux私房菜——基礎學習篇網絡：HTTP權威指南數據庫：sqlmap源碼通讀，集成了所有sql攻擊精髓

5、工具的使用

工具很重要，工具可以讓我們快速、容易地嘗試攻擊，并通過攻擊，來學習原理。一個好的安全測試人員，手頭會有大量的工具。

但是，我不建議搞太多工具，有些工具就不要再花時間和經歷深入研究了，做個簡單了解就好了。就拿sql注入來說，有明小子、啊D注入等等，我建議不要再研究這些有時代回憶的工具了，這些工具不是不好，而是有些過時了。 我覺得更應該花時間研究sqlmap，深入sqlmap，甚至針對特定場景給sqlmap寫插件，以及嘗試用brupsuit和sqlmap進行組合使用，這樣才有意義。和同類其它工具相比sqlmap更具有：功能強大，基本覆蓋了啊D注入等工具的功能社區支持，定期更新擴展性強，支持開發者自行編寫插件平臺移植，多平臺通用，適用群體廣好的工具，不一定要具備上面的特點。

如果希望系統的學習信息安全領域的知識，那么建議先熟悉一些計算機學科的基礎課程，比如計算機網絡，數據庫原理 ，C/C++/JAVA（至少一門），操作系統，常見協議等。計算機專業的基礎課程對信息安全學習的入門是非常重要的。

基礎知識準備充分后，建議結合CISSP培訓材料了解整個信息安全應用的體系，不求深入了解，只是作為學習的導引。具體的學習內容網上也可以查到。