从入门到精通，一份完整的黑客技术成长清单

这是城是一份完整的黑客技术成长清单，里边索引了数十个不同方向的黑客技能图谱。如果你需要一些网络安全入门引导，这无疑是最佳选择之一。

在这份清单中，你能够找到适用于Android、iOS、OS X等不同平台，物联网、工控、车辆等不同行业设施设备，模拟攻击环境、蜜罐、模糊测试、漏洞利用代码开发等等各种黑客技能，可以说是应有尽有。

Android安全：收集了各种与Android安全相关的资源；

APP安全：收集了各种用于学习应用程序安全的资源；

资产盘点：收集了各种能够为安全评估的资产盘点阶段提供帮助的资源；

漏洞赏金：收集了大量漏洞赏金计划和知名赏金猎人的博客；

CTF：CTF框架、类库、资源和软件清单；

网络攻击环境：精选的黑客环境清单，允许你合法而安全地进行网络技能训练；

安全开发运维：很不错的DevSecOps工具列表；

漏洞利用代码开发：学习漏洞利用代码开发的资源；

模糊测试：收集了用于学习模糊测试的各种资源；

入侵：收集了很多很不错的渗透测试教程和工具；

入侵资源：收集了很多入侵/渗透测试资源；

蜜罐：包含用于部署蜜罐的各种资源；

事件响应：包含大量事故响应工具；

工控安全：包含大量与工业控制系统（ICS）安全性相关的资源；

信息安全：收集了大量很不错的信息安全课程和培训资源；

物联网安全：收集了大量物联网破解案例，如RFID、门铃、中控、可穿戴等；

恶意软件分析：收集了大量恶意软件分析工具；

开源情报：收集了各种开源情报来源；

OSX和iOS安全：包含大量与OS X和iOS相关的安全工具；

Pcaptools：由计算机科学领域的研究人员开发的用于处理网络跟踪的工具的集合；

渗透测试：包含在线渗透测试资源、Shellcode开发、开源情报资源、社会工程资源等；

PHP安全：用于生成安全随机数、加密数据和扫描漏洞的库；

红队测试：很不错的红队测试资源；

逆向：收集了很多有关逆向工程的资源；

安全演讲：收集了很多安全大会演讲视频；

社会工程学：收集了很多社会工程资源；

静态分析：各种编程语言的静态分析工具、代码质量检查器等；

威胁情报：包括常见威胁情报来源、格式、架构、工具、研究标准书籍等；

车辆安全：包含用于学习有关车辆安全和入侵汽车的各种资源；

漏洞研究：包含有关漏洞研究的各种资源；

Web黑客：包含各种Web安全入门书籍、文档、工具；

Windows漏洞利用：Windows堆栈溢出、内核攻击、内存损坏、内存保护等内容资源；

WiFi兵工厂：针对802.11协议攻击的各类工具；

YARA：收集了大量YARA规则、工具和人员列表；

Hacker Roadmap：适用于业余测试人员的指南，以及一系列黑客工具、资源和实践道德黑客的参考。

其他资源：

AdversarialMachine Learning：收集了大量精选的Adversarial Machine Learning资源；

AI 安全：收集了大量AI安全资源；

API安全检查清单：当你设计、测试、发布API时，需要核对的安全细节清单；

APT 报告：收集了大量的APT活动披露报告；

赏金漏洞披露列表：按漏洞分类的漏洞赏金记录列表；

密码学：密码学资源和工具；

CFT工具：Capture Flag（CTF）框架、库、资源和软件；

CVE PoC：CVE概念证明（PoC）清单；

取证：收集了很多很不错的数字取证工具资源；

免费编程书籍：面向开发人员的免费编程书籍；

灰帽黑客资源：适用于CTF、Wargames、渗透测试；

信息安全入门：包括信息安全博客、认证、课程、社区、播客、工具等；

Hacker101：HackerOne的免费网络安全课程；

安全资源：一个类似MITRE ATT&C的框架；

IOC：常见IOC资源、工具；

Linux内核利用库：一堆与Linux内核模糊和开发有关的链接；

网络安全领域的机器学习：与将机器学习用于网络安全的工具和资源的精选清单；

Payload：Web攻击有效载荷的集合；

Payload集合：Web应用程序安全性和Pentest/ CTF的Payload和绕过列表；

ResourceList：零碎的GitHub安全项目汇总，涉及PWND、PowerShell、CTF、恶意软件等；

逆向工程：常见软件、类库、书籍、技术分析、开发等；

RFSec工具包：射频通信协议黑客工具集合；

安全备忘录：收集了许多信息安全工具和主题；

安全清单：包含大量的安全资源；

Shell：包含一系列Shell命令行、工具、指南等；

ThreatHunter-Playbook：收集了大量有关黑客组织的报道，有助于发现这些组织的活动；

Web Security：网络安全材料和资源的精选清单。

网络安全工程师技术好学吗？

不过在学习之前，我们需要有一个高效的网络安全学习计划，这能帮助我们少走很多弯路，快速上手和就业！

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！