自學成才的黑客應該掌握哪些技術？

黑客協會創始人花無涯：自學成才的黑客應該掌握哪些技術？

如何向著「黑客」努力。有關技術：現在獲取信息的渠道越來越多，每天新增的技術文章早已超出了人能夠處理的能力範圍，如何發現精華，篩選，歸類這些信息是很重要的工作。

本人較關注Web及移動安全，以下以此方向舉例

.......等等

Blog：不同領域的大牛都有自己的博客，所以，盡情的去挖墳吧。不要覺得人家文章過時了，沒有意義。

紅遍大江南北的Struts代碼執行漏洞也是被挖墳挖出來的，Android WebView任意命令執行漏洞也是11年就被研究出來了。

所以，牛人的Blog很多幾年前的東西現在看還是超前的，這不是盲從，誰挖誰知道。很多國內的牛都是讀完了國外的Paper，總結一下，發散一下，然後發到國內來充大頭的。

提升能力

1，想成為黑客，不能只關注在技術上，思維方式很重要，而且一定程度上決定了你牛的程度。技術其實就那些東西，牛和不牛之前相差的不是技術，是經驗，而只有豐富的經驗才會產生豐富的思路。所以我們不要總和技術點過意不去，一遍一遍的去重複一些我們已經掌握的技能。以基本的資料庫安全舉個例子：

• 第一天我學會了簡單MySQL注入

• 第二天我學會了MySQL注入的基於時間，基於布爾，基於報錯的注入讀庫，表，列，數據。

• 第三天我學會了通過MySQL讀資料庫路徑，工作目錄，服務端IP，鏈接端IP

• 第四天我深入了解了MySQL4，和5資料庫結構組成的差異，知道了資料庫賬密存哪兒，Hash是什麼類型加密的，不同版本加密方式有什麼不同，怎麼破。

• 第五天我學會了如何通過MySQL提權，在什麼條件下提權，不同版本下提權方式有哪些不同。了解提權細節，如何寫dll，加自定義函數。

主線大概是這樣，然後，就是在一次次的實戰去填充優化各種細節了。比如MSSQL，Oracle，無非是重複以上的步驟，MSSQL你還要知道各種存儲過程哪些和安全有強依賴，哪些存儲過程在什麼許可權下能夠使用，默認哪個版本的哪個許可權能操作哪些存儲過程，這些都是細節，所以開始學習的過程中完成主線的任務即可，千萬不要陷入細節中，否則容易走火入魔，萬劫不復。比如Oracle相關的安全問題，研究過的人大概都會說「What a mess！」

2，多實踐：比如研究個DOM XSS，看了很多paper還覺得太亂，沒法貫通，怎麼辦？寫個DOM XSS檢測模塊出來，在這個過程中會逼著你自己去了解透徹，一步步實踐，一點點清晰。最後完成的時候，一切都通透了。讀的再多也是別人的知識，實踐到手上才能轉化為自己的營養。一遍遍說，但只有做下來的人才知道它的意義。

3，多總結：寫Blog也好，寫Note也好，或者總結成正式的paper也好。要不停的做筆記，總結，總結是一個提煉，回爐重造的過程，讀進腦子裡的是別人的語言，自己總結出來的是自己的語言，更便於記憶和理解。一遍遍說，但只有做下來的人才知道它的意義。

再引用某人的一句話「能安靜下來做事的人會成為大牛，能隨時隨地安靜下來做事的人會成為大神。」

學習黑客的第一本書《網路黑白》 淘寶有售 和大家共同進步