1、學習滲透之前，你需要做好晝伏夜出的心理準備，因為往往一個站，短的話一下子就好了，長的話十天半個月也有可能。

2、學習滲透，你要懂的各類的編碼。因為sql注入會被各大的waf攔截，這時候你就需要繞waf。繞waf通常都是透過各種編碼進行繞過。所以你必須懂的各類編碼。

3、穩紮穩打！什麼是穩紮穩打呢。就是平時可以多嘗試手工注入，而不是依賴sqlmap和傳說中的明小子、啊D等工具進行注入。我在沒有接觸手工注入的時候，一般sqlmap跑不出結果。因此建議初學者一定要多練習手工注入，這樣會給你的功底帶來很大的提升。

3、你需要一個系統化學習。什麼系統化學習呢？就是說，你需要給自己列一堆的目標，而不是說，遇到什麼就學什麼。這樣路子太野了。學習起來很雜，思路也會混亂。比如，你列一個年底之前必須學會python。2019年3月到5月學會django，之類的。這樣子就能好好規劃你要學什麼，花多長時間學，而不是浪費一些時間在一些沒有用的上面。因此，規劃好自己的時間至關重要。

找出網站中存在的安全漏洞，對傳統安全弱點的串聯並形成路徑，最終透過路徑式的利用而達到模擬入侵的效果。發掘網站中影響業務正常執行、導致敏感資訊洩露、造成現金和信譽損失的等的漏洞。

漏洞修復方案

滲透測試目的是防禦，故發現漏洞後，修復是關鍵。 安全專家針對漏洞產生的原因進行分析，提出修復建議，以防禦惡意攻擊者的攻擊。

迴歸測試

漏洞修復後，對修復方案和結果進行有效性評估，分析修復方案的有損打擊和誤打擊風險，驗證漏洞修復結果。 彙總漏洞修復方案評估結果，標註漏洞修復結果，更新併發送測試報告。

先找到一個興趣點，二進位制，web，硬體都可以，再自己搭建各類測試環境，參考網上的技術文章，復現各種漏洞，這期間會接觸各種技術，web語言、資料庫、sql語句、poc、ida等等，會遇到各種坑，有時候很簡單的一個障礙過不去可能就放棄了，所以最好能有人帶帶。如果從程式設計入手，恐怕很快就放棄了。