從迷惘開始
還記得剛踏入資安領域的那天嗎?
打開瀏覽器,搜尋「如何學習資訊安全」,迎面而來的是上百篇文章、數十個證照名稱、無數個工具名詞。CTF、滲透測試、惡意程式分析、藍隊紅隊、OSCP、CEH⋯⋯每一個關鍵字都像是通往不同世界的入口,卻沒有人告訴你該先走哪一扇門。
我曾經也是那個站在門口不知所措的人。
資安的世界,比你想像的更廣闊
很多人對資安的第一印象是「駭客」——戴著帽 T、在黑暗房間裡敲著鍵盤的神秘人物。但真實的資安領域遠比這個刻板印象更加豐富多元。
資安不只是「攻擊」,它包含了:
網站安全(Web Security):了解 OWASP Top 10、XSS、SQL Injection 等常見漏洞,保護網站應用程式的安全。
滲透測試(Penetration Testing):模擬攻擊者的角度,找出系統的弱點並提供修補建議。
惡意程式分析(Malware Analysis):拆解惡意軟體,了解攻擊者的手法與意圖。
雲端安全(Cloud Security):在雲端時代,確保 AWS、GCP、Azure 等環境的安全配置。
密碼學(Cryptography):理解加密原理,保護資料的機密性與完整性。
每一個方向都需要不同的技能組合,也都有各自的發展道路。
為什麼我決定建立資安學習路徑資料庫
在學習的路上,我走過不少彎路。
曾經花了三個月研究某個工具,後來才發現對我想走的方向幫助有限。也曾經因為基礎不夠紮實,在進階課程中聽得一頭霧水。更多時候,是不知道「下一步該學什麼」的焦慮感,讓學習變成一種煎熬。
這就是我建立 Security Learning Path 的原因。
我希望後來的人不用再重複我的迷惘。一份好的學習路徑不是要告訴你「唯一正確的答案」,而是要給你一張地圖。有了地圖,你可以選擇自己的路線,但至少你知道目的地在哪裡、沿途會經過什麼風景。
Web Security 學習路徑:一個具體的例子
以 Web Security 為例,我整理了一條系統化的學習路徑:
Level 0:先修知識(4-8 週)
資安概論 → Linux 基礎 → Git 版本控制 → 網路概論
Level 1:網站基礎(4-6 週)
前端基礎 → 後端基礎 → 資料庫
Level 2:網站安全(8-12 週)
OWASP Top 10 → 注入攻擊(XSS/SQLi) → 認證漏洞(CSRF/會話) → 進階漏洞(SSRF/XXE)
Level 3:進階技術(8-12 週)
Linux 提權 → Windows AD → 滲透測試
這樣的路徑讓你知道現在在哪裡、下一步要去哪裡,學習起來更有方向感。
給初學者的幾個建議
不要急於求成
資安是一個需要長期累積的領域,建議每天花 1-2 小時持續學習。與其一次衝刺三天然後放棄,不如養成穩定的學習習慣。
動手實作很重要
看完教學一定要自己動手做,光看不練是學不會的。推薦從 TryHackMe 的 Pre Security 路徑開始,它會從最基礎的概念教起,而且是互動式學習,比較不會感到枯燥。
遇到問題很正常
卡關是學習的一部分,善用搜尋引擎和社群資源。不要害怕問問題,也不要覺得自己的問題太基礎。每個專家都曾經是初學者。
不需要頂級設備
入門階段不需要高規格電腦。大部分練習平台都是線上的,只要能跑瀏覽器就行。進階一點需要跑虛擬機時,建議至少 8GB RAM,16GB 更佳。
程式設計可以邊學邊補
不一定要先精通程式設計,但建議至少熟悉一種腳本語言,推薦 Python 或 Bash。在學習過程中會自然而然接觸到程式碼,邊學邊補即可。
沒有相關學歷也能入行嗎?
可以,但需要展示你的能力。建議:
- 經營技術部落格記錄學習歷程
- 參加 CTF 比賽累積經驗
- 在 HackTheBox / TryHackMe 取得好成績
- 考取相關證照(如 OSCP)
- 參與 Bug Bounty 累積實戰經驗
能力的證明不只有學歷一種方式。
該選擇哪個領域?
建議先廣泛了解各個領域,再選擇一個有興趣的深入鑽研。Web Security 是最好入門的領域,也是就業市場需求較大的方向。在 Security Learning Path 上,你可以找到各個領域的學習資源與路徑指南。
最後
資安的世界很大,大到一輩子都學不完。但這正是它迷人的地方。
每一個漏洞的背後都是一個故事,每一次攻防都是智慧的交鋒。當你理解了系統如何運作,你就獲得了保護它的能力。
這條路不容易,但絕對值得。
資安這條路,讓飛飛來領路。我們一起出發吧。
📚 學習資源
– Security Learning Path 資安學習路徑資料庫
– 飛飛的技術部落格
🔗 社群連結
– Instagram @info_pilot_fei
– GitHub @fei3363
如果這篇文章對你有幫助,歡迎分享給同樣正在起步的朋友。學習的路上,有伴同行會更有力量。
