我知道這個問題可能已經被問到爛掉了...
但是我還是覺得自己在做的事不知道是不是正確的...
就我所知資安有很多方面
網路，網頁，逆向工程，密碼學，數位鑑識等等
目前我想從網路安全著手
因此我去讀了電腦網際網路的知識
現在也正開始學Socket programming
有寫了個TCP port80的小scanner
也開始在摸組合語言
但是當我拿到了kali 這種東西卻完全不知道怎麼用
頂多只會namp之類的...
對於metasploit 的payload也不會用
但我的想法是當我會用的時候應該要去看他的原始碼對吧？
還是我應該要從CTF或是wargame的遊戲開始著手會比較好？

可以載靶機metasploitable2練習，網路上有不少demo

好的，我會試試看，但我想問就算會用了metasploit 感覺也只是用到工具而已？想要更深入的了解是要去看他怎麼運作跟開源的程式碼嗎

那些東西是"工具"，讓你練習入侵與攻擊手法，進而學會防禦，一般都是拿來用比較多不過如果你就是想學自己寫工具來用，也是可以看程式碼

書是個好東西 你可以先看看 那些都有書

其實很多時候工具畢竟是工具，重要的是如何跳脫User思維，看到開發團隊或其他用戶想不到的問題，一不小心就破台了..很多時候用到的工具就真的只是Chrome，連F12都未必要押..