从入门到精通，一份完整的黑客技术成长清单

在2017年，一个名叫“AwesomeHacking”的GitHub项目曾引发大量网友的关注，这个项目是由@HackwithGithub维护的，这是一个经常会发布一些最新安全开源项目和黑客技巧的Twitter账户。

“Awesome Hacking”是一份完整的黑客技术成长清单，里边索引了数十个不同方向的黑客技能图谱。如果你需要一些网络安全入门引导，“Awesome Hacking”无疑是最佳选择之一。

在这份清单中，你能够找到适用于Android、iOS、OS X等不同平台，物联网、工控、车辆等不同行业设施设备，模拟攻击环境、蜜罐、模糊测试、漏洞利用代码开发等等各种黑客技能，可以说是应有尽有。

“Awesome Hacking”清单：

** **

Android安全：收集了各种与Android安全相关的资源；

APP安全：收集了各种用于学习应用程序安全的资源；

资产盘点：收集了各种能够为安全评估的资产盘点阶段提供帮助的资源；

漏洞赏金：收集了大量漏洞赏金计划和知名赏金猎人的博客；

CTF：CTF框架、类库、资源和软件清单；

网络攻击环境：精选的黑客环境清单，允许你合法而安全地进行网络技能训练；

安全开发运维：很不错的DevSecOps工具列表；

漏洞利用代码开发：学习漏洞利用代码开发的资源；

模糊测试：收集了用于学习模糊测试的各种资源；

入侵：收集了很多很不错的渗透测试教程和工具；

入侵资源：收集了很多入侵/渗透测试资源；

蜜罐：包含用于部署蜜罐的各种资源；

事件响应：包含大量事故响应工具；

工控安全：包含大量与工业控制系统（ICS）安全性相关的资源；

信息安全：收集了大量很不错的信息安全课程和培训资源；

物联网安全：收集了大量物联网破解案例，如RFID、门铃、中控、可穿戴等；

恶意软件分析：收集了大量恶意软件分析工具；

开源情报：收集了各种开源情报来源；

OSX和iOS安全：包含大量与OS X和iOS相关的安全工具；

Pcaptools：由计算机科学领域的研究人员开发的用于处理网络跟踪的工具的集合；

渗透测试：包含在线渗透测试资源、Shellcode开发、开源情报资源、社会工程资源等；

PHP安全：用于生成安全随机数、加密数据和扫描漏洞的库；

红队测试：很不错的红队测试资源；

逆向：收集了很多有关逆向工程的资源；

安全演讲：收集了很多安全大会演讲视频；

社会工程学：收集了很多社会工程资源；

静态分析：各种编程语言的静态分析工具、代码质量检查器等；

威胁情报：包括常见威胁情报来源、格式、架构、工具、研究标准书籍等；

车辆安全：包含用于学习有关车辆安全和入侵汽车的各种资源；

漏洞研究：包含有关漏洞研究的各种资源；

Web黑客：包含各种Web安全入门书籍、文档、工具；

Windows漏洞利用：Windows堆栈溢出、内核攻击、内存损坏、内存保护等内容资源；

WiFi兵工厂：针对802.11协议攻击的各类工具；

YARA：收集了大量YARA规则、工具和人员列表；

Hacker Roadmap：适用于业余测试人员的指南，以及一系列黑客工具、资源和实践道德黑客的参考。

其他资源：

AdversarialMachine Learning：收集了大量精选的Adversarial Machine Learning资源；

AI 安全：收集了大量AI安全资源；

API安全检查清单：当你设计、测试、发布API时，需要核对的安全细节清单；

APT 报告：收集了大量的APT活动披露报告；

赏金漏洞披露列表：按漏洞分类的漏洞赏金记录列表；

密码学：密码学资源和工具；

CFT工具：Capture Flag（CTF）框架、库、资源和软件；

CVE PoC：CVE概念证明（PoC）清单；

取证：收集了很多很不错的数字取证工具资源；

免费编程书籍：面向开发人员的免费编程书籍；

灰帽黑客资源：适用于CTF、Wargames、渗透测试；

信息安全入门：包括信息安全博客、认证、课程、社区、播客、工具等；

Hacker101：HackerOne的免费网络安全课程；

安全资源：一个类似MITRE ATT&C的框架；

IOC：常见IOC资源、工具；

Linux内核利用库：一堆与Linux内核模糊和开发有关的链接；

网络安全领域的机器学习：与将机器学习用于网络安全的工具和资源的精选清单；

Payload：Web攻击有效载荷的集合；

Payload集合：Web应用程序安全性和Pentest/ CTF的Payload和绕过列表；

ResourceList：零碎的GitHub安全项目汇总，涉及PWND、PowerShell、CTF、恶意软件等；

逆向工程：常见软件、类库、书籍、技术分析、开发等；

RFSec工具包：射频通信协议黑客工具集合；

安全备忘录：收集了许多信息安全工具和主题；

安全清单：包含大量的安全资源；

Shell：包含一系列Shell命令行、工具、指南等；

ThreatHunter-Playbook：收集了大量有关黑客组织的报道，有助于发现这些组织的活动；

Web Security：网络安全材料和资源的精选清单。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等…

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！