系统的学习一下OWASP,然后可以尝试做一下ctf题目，参加一下关于这方面的比赛。差不多了以后就开始技术转变财富，慢慢挖一些漏洞积累实战经验。有技术了，各大src也有排名就可以进行hvv行动了，刚开始可能会被割韭菜，虽然成为了一颗韭菜，但对初期的攻防有了一定的了解。还有就是对于学生而言这是一笔不菲的收入。最主要还是为以后毕业了从事网络安全行业奠定基础。

先把基础打好吧，像计算机网络，计算机组成原理，数据结构算法，操作系统等这些都很重要，是内功，扎实的基础能为你以后的成长提供帮助的。然后可以慢慢接触信息安全方面的东西，很多人刚开始都是搞web安全，没几个人一开始就会搞二进制，因为二进制入门确实比web难。可以慢慢先了解一些概念，例如sql注入，跨站脚本之类的，然后自己动手搭建环境实验，这个很重要，首先成为一个脚本小子吧，然后入门了就会慢慢了解自己该学什么了。一般来说，很多人都是往web方向发展了，所以很多时候你会觉得我说的计算机组成原理可能以后都派不上用场。看你往哪个方向发展，但是总有一天你会明白，二进制是yyds。

感觉自己学不到东西往往是自己对学习和研究方向不太明确吧。在校生从CTF入手确实是一个很不错的选择，但是现在大部分的CTF其实对于新人来说还是较为不友好的，可以通过一些靶场复现以前的优秀题目来慢慢入坑，然后再慢慢参加一些比赛来提升能力。还是建议从自己学习方向出发，针对性的去巩固基础以及学习一些优秀思路，比如一些优秀的博客等，然后自己再多做一些学习记录。最后很重要的一点就是千万不要为了打CTF而去打CTF

信息安全与网络安全严格意义上来说其实不是同一门学科，高校中的信息安全是早就有的一门专业，一般都是和密码学相关性更大，偏理论。网络安全则更偏向于实践，和Web安全，二进制安全关系更大。

而且高校中的科目往往来源于书本，但是书本上的知识，是经典的，但不是最新的，CTF的作用是帮助你接触到一些最新的东西，开拓视野和思路，搞钱什么的都是次要的，关键是能学到新知识。有一个实践的机会，至于怎么打比赛，大家说的已经够多了，我个人的意见是，找几个志同道合的小伙伴一起。

CTF 是个入门比较好的手段，ctf wiki 这种开源的网站是个很好的学习工具，学校里面的话，基础的课程一定要学好。机组原理，编译原理，数据库，操作系统，c语言，面向对象这些都是决定你以后在这个行业的高度的课程。

还有就是有小伙伴组个战队，一起学习一起玩耍，最后就是如果不是安全的死忠粉，对于某个方面特别感兴趣的话，可以趁早转开发什么的，安全这个方向做不到极致收入是没有其他方向高的。

重大比赛的成绩和CVE是比较好的敲门砖。

1、加入信息安全攻防实验室，如果学校里有类似的实验室或者组织的话，二话不说，抓紧加入。在老师和牛逼的师兄们的带领下，进步是突飞猛进的。老师带着参加各种比赛、认识各种各样的圈内人，同时还有不定期的技术分享等。找工作的时候也是加分项，同时也会积累很多人脉资源

2、搭建靶场环境，owsap top 10耍起来

3、没有实战可不行，不过不能乱测哦，各大SRC、众测。实战提高自己能力的同时，会加入各种大佬群，交流心得。同时有时也能给自己带来一些收入、礼品。提高自己的成就感

4、实习，现在很多学校的网络安全专业都是校企联合。学习———>工作——>学习。等你真的出来工作的时候已经领先一大步了

信息安全专业，按课程规划，除了基础之外，一般就是防火墙，vpn，密码学那些，偏理论而且传统的，而实际中一线安全人员还是直面web、内网、逆向这些居多，实际上还是学校教育和社会实际脱节严重，当然了安全人员要提升自己上限也是要懂密码学、防火墙原理、vpn原理那些

有时候会挖洞并不一定会ctf，建议你先从信息收集和 十大漏洞的原理开始，还有练习相对应漏洞的靶场，这样是最好的，有助于巩固加深印象和技术，一定要经常实战，不能不动手。ctf可以后期再去接触，再去玩，

学校里教的大多偏向理论，自己上手实战会有很大的提升，CTF也可以，理解了漏洞原理之后就可以自己搭建漏洞平台然后尝试着去挖掘一些漏洞

学校基于理论基础，系统学习的话 多多参加比赛，多去各大平台刷刷题。当然你需要先了解一些基础漏洞的原理。