笔测试是一种咨询，和任何类型的咨询一样，很多重要的东西都是非技术性的，所以除了学习一些编程，尤其是脚本（perl、python）之外，我会专注于了解企业如何运作和如何在一个内工作。拥有一个知道如何发现漏洞并利用它们的渗透测试人员是一回事，拥有一个能够站在大人物面前并说服他们为他们的服务为雇主提供大量资金的人是非常罕见且更有价值的事情。如果雇主看到可以与客户安排的人，那么获得第一份工作会容易得多。

了解业务术语、首字母缩略词、软件开发生命周期、公司如何获得和支出预算以及典型的公司结构和治理。学习演讲技巧。渗透测试是一个很好的起点，但您可能不想被困在那里，因为有一个您永远无法超越的资历限制，因此您将希望在此基础上发展您的安全技能。在大学里你无法成为这些学科的专家；其中大部分来自经验，但你可以学到足够的东西让自己从其他人中脱颖而出。

笔测试的职业是罕见的。通常，您从商业咨询公司的职业生涯开始，然后以某种方式最终进入安全团队。此外，严肃的渗透测试通常与软件安全和一般政策遵守同样重要。你需要学习的很多东西都是“在职”，在某项工作或其他工作中学到的。

我强烈建议不要专门为笔测试职业进行规划，而是准备在您旅行的任何公司成为软件和安全专家/预言机。如果您真的了解自己的东西（不仅仅是假装），那么您往往会受到关注并被挑选出来从事有趣的工作。如果那是你喜欢的，那是一件好事。它还转化为未来演出的高度适销对路的技能。小公司可能没有多少有趣的工作要做，但你有更高的机会被选中去做。

正如建议的那样，安全技能是通过经验而不是精神渗透获得的。安全就是关于“陷阱”，除非你以前来过这里，但在栅栏的另一边，你不会抓住它。并且有很多（合法的）方法可以学习交易。开源始终是一个有用的起点。一旦你有一台像样的电脑，几乎所有重要的东西都可以免费获得。例如，虚拟机允许您在不租用硬件的情况下创建复杂的网络配置。

可能是最重要的；花空闲时间和那些做你想了解的事情的人在一起。例如，与您一起工作的人。保持友好并尝试提供帮助，但请确保您不会惹恼他们。如果你保持耳朵张开，你可以学到什么有用的技能真是太神奇了，很多人只是想要一个愿意听他们说话的人。此外，人际关系也是为新的有趣工作打开大门的最重要因素。

利用你的空闲时间做一些有用的事情。编程、阅读、硬件黑客等等。如果你不享受你所做的事情，你就不会进入这个领域：这是因为如果你把空闲时间花在做其他事情上，你就不会在这里。

至于语言：C 不是可选的，但它是一个糟糕的起点。这是无情的和无益的，会让你直接陷入困境。Python 既有用又简单，这使它成为一个不错的主意。Perl 也可以说不是可选的，尽管它稍微不那么简单。了解 .NET 和 Java 很重要，但您是否擅长为它们编程并不重要。一旦您知道如何编程，新语言就会变得容易得多。但是编程需要一种抽象的结构思维，这对某些人来说是非常难以学习的。由于 IT 人员通常更喜欢 Linux/BSD，因此一般 IT 安全往往会大量处理 Linux/BSD。但由于人类学家仍在试图理解的原因，企业安全通常会大量处理 Windows。

作为旁注，请对您在 SN 上听到的内容持保留态度。这当然是一个有趣的节目，主要是因为 Leo 非常擅长他的工作。但史蒂夫在错误时和正确时一样自信，而且他的想法和建议有点不合时宜。我仍然为新闻而收听它，主要是因为替代方案对耳朵来说非常痛苦，实际上我贡献了非常大比例的特色“反馈”。但是，请记住，准确性仅与普通报纸报道一样好——当您已经知道主题时，您只会注意到错误在哪里。当我听电脑时，我偶尔会发现自己对着电脑大喊“不不不” 。虽然他'