学习黑客十余年，如何成为一名安全工程师？

学习黑客十余年，如何成为一名安全工程师？

学习十余年的经验，最终我的心得是——决定大多数人是否能够学会这个技术的关键点，是对一些基本问题的理解是否准确。

我曾经问过很多学习黑客技术的初学者为什么要学习这个，我得到的最多答案就是“我要变得很牛逼”，然而至于如何才算牛逼呢，他们的答案是“如果我学会黑客技术，我就会怎么样怎么样”，而当你继续问要学习什么才能这么牛逼时，基本上就给问住了。

举例来说，如果小明认为“如果我要学会黑客技术，我就可以盗美女的QQ号啦”，那么如果小明是按照一个专业黑客的路线发展的话，小明首先需要做的就是要精通C语言。

而学习C语言与盗QQ这种工具流比起来，简直不知道要高级多少倍，因此自然也要更困难些，这样就会导致小明做着一件实际价值很高，但在小明看来却不值一提的事（C语言在小明心里远不及盗QQ高级），这种落差带来的认知失调最终会将你学习黑客技术的激情冲的一干二净。

因此，学习黑客技术的第一条铁律就是不要有终点思维，深刻理解成长才是永恒的主题。

其次，是幻想与价值的博弈。

懒惰是最容易容易让人们产生幻想的行为。因为懒惰，所以不能得到，但是内心又无比渴求，所以只能通过幻想来麻痹自己。

这里的幻想可能是自己有意识的幻想，也有可能是无无意识的幻想，甚至自己都不知道正处于幻想中。

但是你大可不必为此而自责，最起码对于我来说，或者我通过观察周围的人而得出的结论，包括我在内的几乎所有人都在无时无刻的与懒惰做着斗争，例如“事情太多”、“这太难了”、“没有灵感”等等都是因懒惰而产生的幻觉。

因此，任何一位你眼中的大牛无不是通过了无数次与懒惰的殊死博弈才取得的今天的成就。

因此，你要知道，只有你真正俯下身子去一点点的学习知识，才会使得你离黑客越来越近。

但可怕的是，大多数初学者并不懂得这些，他们在内心深处始终都认为有那么一种灵丹妙药可以让他在更短的时间内掌握黑客技术，从而去花费数倍于所谓的“更短时间”的时间去寻求这本就不存在的方法。

因此，学习黑客技术的第二条铁律就是不要抱有任何幻想、任何偷奸取巧，只要你决定这条路是自己去走，那么无论你如何寻找奇技淫巧，最终都不会让你少走半步。

最后，是浮躁与耐心的博弈。

包括我在内的绝大多数人，在制定目标时都会高估自己的精力、高估自己的效率、高估自己的智商，甚至高估自己对此事的兴趣。

这一系列的高估会在学习后半段严重干扰我们的学习效果，那种现实与理想的差距会导致你对自己能力的认知失调，进而过低的估计自己各方面能力，最终导致失败。

因此，学习黑客技术的第三条铁律就是时刻葆有对低效率的自己的耐心。

要考虑的问题

想要做任何事情之前，一定要想清楚三个问题，分别是你为什么要做，你愿意为此付出什么，你想要的结果是什么。

而所谓的智慧，就是一个人通过这种方式不断的调整自己对于各种事情的预期，从而达到一种与外界的平衡。

如果将这个思路映射到黑客学习这件事上，大体可以分为如下三个问题。

首先，要考虑清楚你为何要学这个。

说白了就是你的动机是什么，如果你的动机是不可持续的，例如盗个扣（甚至是挖个系统级0Day漏洞），那么我建议你将自己的动机修改为可持续的，例如你想保持一项什么记录（甚至是让其他人更加尊敬你），因为这类动机是在不断变换的，只有这类动机才能让你有一个更加长久的动力源泉，才能促使你坚持的更久，也就能取得更大的成就。

其次，要考虑明白你可以付出什么。

你要清楚的是，任何事情都是有代价的，而且如果你此时的年龄越小，你那么你对“代价”的理解就越不深刻，这点一定要着重加以注意。

黑客技术是一件非常有魅力、非常有价值，同时也是非常酷的一件事，但是这么有魅力的事情，如果你想要完成它，要么需要极佳的运气，要么就是需要你付出非人的努力。

举例来说，最近我们经常看到媒体在报道时说国内某组织的某黑客在几秒内就攻破了IE浏览器，在几秒内就绕过了XX保护机制。但事实的真相是他们其实就是运行了一个自己准备好的代码而已，而媒体上说的这几秒钟的时间其实是代码的运行时间。

据我所知，他们在参赛之前，整个团队为了这几秒钟的ShowTime，需要经历至少十余个甚至数十个不眠之夜，然后才能打造出可能仅有几百个字节的艺术品般的代码（也就是Exploit），最后才能拿去现场过五关斩六将。

如果在这个十三亿人口的国度里最牛逼的黑客都需要如此付出，那么作为目前默默无闻的你来说，想要学会这门技术应该需要多少个不眠之夜呢？

最后，要考虑你的学习方向是什么。

信息安全领域的方向太多了，如果最粗旷的分，大致可以分为 网络安全 、 软件安全 、 基****础安全 这三类。

其中网络安全包括网络渗透、通讯安全、电信安全等，软件安全包括授权控制、漏洞挖掘、加密解密等，基础安全分为理论安全、密码学等。

我收到的最多的、也是令我最郁闷的问题就是“你的那幅图我已经看了，但是我想知道我应该怎么学呢？或是从何处开始呢？”

是的，你没看错，纵然我这幅图获得了超乎想象的关注，但是仍有很大一部分人似乎并没有因为这个世界上多出这幅珍贵的图而获得什么，他们仍然是迷茫的，当然，这也并不能全怪他们。

所有人的成长都是从知道自己不需要什么东西开始的，举例来说，几乎95%以上的大学生其实根本就不知道自己想要什么，只知道自己不想要什么，这其实就是不成熟的一种表现，用我们那个方言讲就是“青瓜蛋子”。

那么“青瓜蛋子”们最需要的是什么呢？就是前辈们的指导，告诉他们，他们真正的需求是什么，然后他们恍然大悟，似乎这就真的是他们此时所最需要的东西了。

而就大多数事情而言，根本没那么复杂，随意挑选一个你最感兴趣的方向就好了；如果挑不出来，那就随意挑一个你感觉自己最擅长的；如果还挑不出来，那就挑一个你感觉最顺眼的即可。

学习信息安全技术如同做其他事情一样，最终如果你要想有所成就，必然是登上这个领域数座高峰的强者，然而你一开始并不能做到这一点，因此最简单的方法就是随便挑选一座不是太低的山峰蹬一蹬试试看。

因为只要你能登上其中的一座山峰，就能一览众山小，就掌握了快速登顶相邻山峰的方法。

学习信息安全技术同样如此，你应该想找一个不是太浅的方向（例如渗透就有些浅）深入研究下去，等你将这个领域彻底研究明白后，其他方向的技术自然就能触类旁通了。

学习路线详情

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-
home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5CAdministrator%5CDesktop%5C%E7%BD%91%E5%AE%89%E6%80%9D%E7%BB%B4%E5%AF%BC%E5%9B%BE%5C%E4%BA%AB%E5%AD%A6%E9%A6%96%E5%88%9B%E5%B9%B4%E8%96%AA40W%2B%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%B7%A5%E7%A8%8B%E5%B8%88%20%E9%9D%92%E9%93%9C%E5%88%B0%E7%8E%8B%E8%80%85%E6%8A%80%E6%9C%AF%E6%88%90%E9%95%BF%E8%B7%AF%E7%BA%BFV4.0.png&pos_id=img-d3kzsw3d-1700703629724)

这些内容脱产自学的话至少需要 3年 。

边工作边自学的话，如果工作内容不能与学习内容高度重合，那么至少需要5年以上时间。

后，其他方向的技术自然就能触类旁通了。

学习路线详情

[外链图片转存中…(img-d3kzsw3d-1700703629724)]

这些内容脱产自学的话至少需要 3年 。

边工作边自学的话，如果工作内容不能与学习内容高度重合，那么至少需要5年以上时间。

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！