这个世界充满了待解决的迷人问题
做一个黑客有很多乐趣,但是需要颇费气力才能获得这些乐趣。这些动力需要动机。卓越的运动员从强健体魄、挑战自我身体极限中汲取动力。类似的,作为黑客,你必须从解决问题、磨练技术、锻炼智力中获得基本的快感。
如果你不是这样的人又想做黑客,你就要设法成为这样的人。否则,你会你发现你的黑客热情会被其他诱惑无情的吞噬:性、金钱、社会上的虚名等等。
(同样的你也必须对自己的学习能力建立信心 – 你要相信尽管你现在所知甚少,但是随如果你一点一点的学习、试探、实践,你最会掌握它。)
拿出一把锁打比方:多数人只知道拿钥匙开锁,这是一般用户;认真从外部观察过锁的人会想到通过拨锁舌也能开锁,这是比较好的程序员;在相应位置设计一个挡片阻止直接拨锁舌,这是漏洞防护;学过开锁的人,知道怎么通过拨弹子这种通用的方法把锁打开,这是一般的信息安全技术人员;
把锁拆开,观察内部原理,这是逆向工程;用逆向工程技术全面透彻地分析某种锁的内外结构、运作细节,设计出甚至无人谈及过的开锁方法,这就是安全研究。然后我向他演示了一种我研究的方法,利用一个漏洞几秒钟就可以把锁打开。
所谓“猥琐”,实际上就是基于对某个领域信息的全面掌握,提出达成某个目的的巧妙方法。这其实几乎存在于所有工程技术领域。比如说,利用巨磁阻效应制造硬盘、合成生物学,都属于“猥琐”。
- 旺盛的好奇心,饱满的学习热情;
- 有明确的目标,因循渐进地学习;
- 学以致用,纸上得来终觉浅,实操是提高的最快途径;
- 有学习输入,也要有总结输出,与世界,分享你的经验心得;
- 除此之外,接触更多的大牛,跟着大牛学习,见贤思齐。
1. 建议从Web安全入门,理解SQL注入和Xss这两个大类漏洞原理,SQL注入找靶场手注走一遍就能基本理解。Xss看这个系列黑客入门书籍 《网络黑白》某宝有 。
2. 别急着去各种高端论坛和网站,踏踏实实来乌云,每天过一遍新公开漏洞,看思路,找个记事本记住关键点,看乌云知识库里的基础内容。
3. 选一个细分领域(比如邮箱Xss)集中研究一阵,然后在乌云上关注此类漏洞,看标题猜漏洞内容,等漏洞公开了再看是否和自己的想法类似。等熟悉了换细分领域再循环这个过程。
4. 熟悉HTML和Js,这俩学精不容易,但想看懂并不难。平时上网养成按F12的习惯,多玩Console。
5. 编程语言里首选PHP。因为PHP环境最好搭,网站最多,入门快。第二选择Python(Py2),太多工具都是Python写的。
6. 两个工具:SQLmap,BurpSuite。别贪多,先学好这俩,Web方面的漏洞够用了。
7. 早点操练起来,有收获才有学习的动力。
大多数人的问题是不知道如何开始,所以推荐Web安全这个相对容易出成果的入门点。入门后方向很多,每个点都值得深挖,该学什么自己就清楚了。
学习资源分享
很多小伙伴想要一窥网络安全整个体系,这里我分享一份打磨了4年,已经成功修改到4.0版本的《平均薪资40w的网络安全工程师学习路线图》
一些其他平台白嫖不到的视频教程
网络安全超实用教程文档工具包
查漏补缺面试题库
常用工具一览表
以上学习路线附全套教程无偿分享,如有朋友需要扫码下方二维码免费获取,免费领取!