search
花無涯:一個白帽子黑客的學習路徑

花無涯:一個白帽子黑客的學習路徑

這個世界充滿了待解決的迷人問題

做一個黑客有很多樂趣,但是需要頗費氣力才能獲得這些樂趣。這些動力需要動機。卓越的運動員從強健體魄、挑戰自我身體極限中汲取動力。類似的,作為黑客,你必須從解決問題、磨練技術、鍛煉智力中獲得基本的快感。

如果你不是這樣的人又想做黑客,你就要設法成為這樣的人。否則,你會你發現你的黑客熱情會被其他誘惑無情的吞噬:性、金錢、社會上的虛名等等。

(同樣的你也必須對自己的學習能力建立信心 – 你要相信儘管你現在所知甚少,但是隨如果你一點一點的學習、試探、實踐,你最會掌握它。)

拿出一把鎖打比方:多數人只知道拿鑰匙開鎖,這是一般用戶;認真從外部觀察過鎖的人會想到通過撥鎖舌也能開鎖,這是比較好的程序員;在相應位置設計一個擋片阻止直接撥鎖舌,這是漏洞防護;學過開鎖的人,知道怎麼通過撥彈子這種通用的方法把鎖打開,這是一般的信息安全技術人員;

把鎖拆開,觀察內部原理,這是逆向工程;用逆向工程技術全面透徹地分析某種鎖的內外結構、運作細節,設計出甚至無人談及過的開鎖方法,這就是安全研究。然後我向他演示了一種我研究的方法,利用一個漏洞幾秒鐘就可以把鎖打開。

所謂「猥瑣」,實際上就是基於對某個領域信息的全面掌握,提出達成某個目的的巧妙方法。這其實幾乎存在於所有工程技術領域。比如說,利用巨磁阻效應製造硬碟、合成生物學,都屬於「猥瑣」。

旺盛的好奇心,飽滿的學習熱情;

有明確的目標,因循漸進地學習;

學以致用,紙上得來終覺淺,實操是提高的最快途徑;

有學習輸入,也要有總結輸出,與世界,分享你的經驗心得;

除此之外,接觸更多的大牛,跟著大牛學習,見賢思齊。

1. 建議從Web安全入門,理解SQL注入和Xss這兩個大類漏洞原理,SQL注入找靶場手注走一遍就能基本理解。Xss看這個系列黑客入門書籍 《網路黑白》某寶有 。2. 別急著去各種高端論壇和網站,踏踏實實來烏雲,每天過一遍新公開漏洞,看思路,找個記事本記住關鍵點,看烏雲知識庫里的基礎內容。3. 選一個細分領域(比如郵箱Xss)集中研究一陣,然後在烏雲上關注此類漏洞,看標題猜漏洞內容,等漏洞公開了再看是否和自己的想法類似。等熟悉了換細分領域再循環這個過程。4. 熟悉HTML和Js,這倆學精不容易,但想看懂並不難。平時上網養成按F12的習慣,多玩Console。5. 編程語言里首選PHP。因為PHP環境最好搭,網站最多,入門快。第二選擇Python(Py2),太多工具都是Python寫的。6. 兩個工具:SQLmap,BurpSuite。別貪多,先學好這倆,Web方面的漏洞夠用了。7. 早點操練起來,有收穫才有學習的動力。

大多數人的問題是不知道如何開始,所以推薦Web安全這個相對容易出成果的入門點。入門後方向很多,每個點都值得深挖,該學什麼自己就清楚了。

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23295次喜歡
留言回覆
回覆
精彩推薦