1. 前言
坦白讲,我深信大部分阅读这篇文章的人最终会选择放弃。原因很清楚,自主学习是一种只适应少数人且进展缓慢的学习方式,过程中充满变量,稍有不注意就可能与初衷渐行渐远。
然而,毕竟有那么一些像我曾经一样的年轻人,他们有决心和理想,他们确实可以坚守十年修炼这个技能。如果有专业人士进行引导,他们的学习时间可能会缩短一半甚至更多。为了不辜负每一个人的执着,我于是写下这篇长文。这篇文章不仅记录了我十年来的自学历程,还根据我的经验反思,许多人无法学好的主要原因在于他们内在的准备未尽如人意。希望本文能为想要自学的人提供尽可能的帮助。
2. 经验
学习十余年的经验,最终我的心得是——决定大多数人是否能够学会这个技术的关键点,是对一些基本问题的理解是否准确。
用人话说就是,用遵循世间规则的智慧(道)去引导内心的冲动与目标(术)的能力决定你这次学习的最终结局(甚至是更大的,这一生的结局)。
下面我就从三个典型的认知谬误分别讲解这个问题:
首先,是终点与成长的博弈。
我曾经问过很多学习黑客技术的初学者为什么要学习这个,我得到的最多答案就是“我要变得很牛逼”,然而至于如何才算牛逼呢,他们的答案是“如果我学会黑客技术,我就_____”,而当你继续问要学习什么才能这么牛逼时,基本上就给问住了。
当然,我这篇文章的目的就是为了解决这个被问住的问题,但是笔者现在的经验毕竟不同于八年前学习的状态,我感觉自己有义务、也有能力给出各位初学者一个更好的,可以受用一生的答案,因此才有了这段废话,但就我个人而言,我认为这才是我的心得的精华之所在。
我相信大部分阅读本文的朋友都在高中时听过这样一番说辞:“只要你如何如何努力,就可以考上顶级大学,然后人生就圆满了!”这种一步到位的观念源于我们人类漫长历史的进化,但是随着近几千年文明的发展,这种思维逐渐成为了束缚我们的框框。令人痛心的是,作为新一代的我们,依然需要忍受高中教育对这种错误价值观的强调,最终让我们在接受更多教育的过程中,反而降低了自我价值的认知。
经历过高考的各位同学都应该心有感触:
当你在高中时,你被告知必须考上大学才能成功
当你在初入大学认为已经成功之时,你被告知必须修够学分拿到毕业证才能成功
而当你成功毕业认为已经成功之时,你被告知必须找个好工作才能成功
而当你千辛万苦终于找个好工作时,你被告知必须出色完成 KPI 快速升职加薪才能成功
当你使出吃奶的劲儿升职加薪之后,你被告知必须在北京买上几百万的房子才能成功
……
而如果你一直以这种思维生活/学习下去,那么你基本上就不会成功,你的每一次目标的达成都会让你多一分怨气,少一分斗志,最后大多数人就局限在这个死循环中被吞没了。而且更加要命的是,由于你过于关注每次达成“成功”的局部,而无法以更大的格局思考问题。
如果你突破不了基因带给你的桎梏,那么你将永远是芸芸众生,而我们都知道芸芸众生中是不可能有黑客这种精英出现的。
因此,在你正式准备学习黑客之前,建议你要先了解一个客观事实,那就是——只有成长才是永恒的主题,过程中的成功仅仅是你成长路上的里程碑而已。
也就是你要搞清楚一件事,所谓的成功只不过是供你意淫的一个小目标,而并非就是终点,如果你认识不到这一点,那么就会出现很严重的问题。
举例来说,如果小明认为“如果我要学会黑客技术,我就可以盗美女的 QQ 号啦”,那么如果小明是按照一个专业黑客的路线发展的话(无此想法的读者请右上角点击关闭,出门左转各大黑客网站),小明首先需要做的就是要精通 C 语言。
而学习 C 语言与盗 QQ 这种工具流比起来,简直不知道要高级多少倍,因此自然也要更困难些,这样就会导致小明做着一件实际价值很高,但在小明看来却不值一提的事(C 语言在小明心里远不及盗 QQ 高级),这种落差带来的认知失调最终会将你学习黑客技术的激情冲的一干二净。
因此,学习黑客技术的第一条铁律就是不要有终点思维,深刻理解成长才是永恒的主题。
其次,是幻想与价值的博弈。
懒惰是人们最易沉浸在幻想中的行为。因为懒惰,你无法得到你想要的,但心里又强烈渴望,只能通过幻想来安抚自己。这种幻想可能是有意识的,也可能是无意识的,甚至自己都不知道正在处于幻想之中。
然而,你无需为此感到自责。从我个人经验或者观察他人得出的结论,几乎所有人都在与懒惰进行持续的较量,例如“工作太繁重”、“难度太大”、“找不到灵感”等都是由懒惰引发的错觉。所以,任何你所看到的成功人士,都是经历了无数次与懒惰的激战才取得现在的成就。
因此,你需要明白,只有全身心投入去逐渐学习,你才能距离黑客的目标越来越近。然而,让人害怕的是,许多初学者并未认识到这一点,他们总认为有某种神奇的方法可以帮助他们在短时间内掌握黑客技术,结果反而花费更多的时间去寻找这种不存在的方法。
因此,学习黑客技术的第二个规则就是不能有任何幻想、不能偷懒。只要你决定走这条路,无论你如何寻找巧妙的方式,最终都无法让你少走一步。
最后,我们来谈谈浮躁和耐心的对抗。
骄傲、自满以及目中无人都源于浮躁,更致命的是,当前社会整体都充斥着浮躁的气息。
如果你理解了成长的本质,如果你坚定不移地学习技术,那么,你可能还会被最后一个难题绊倒,那就是对自我耐心的挑战。
包括我在内的大部分人,在设定目标时都会过高估计自己的精力、效率、智商甚至兴趣度。
这种过度的预期会在学习的后期严重影响我们的学习效果,理想与现实的落差会导致你对自己能力的误判,进而低估自己的各项能力,最后导致失败。
因此,学习黑客技术的第三个原则就是对自己的低效率保持耐心。
3. 要考虑的问题
在开始做任何事之前,我们需要清楚的回答三个问题:为什么要做这件事、愿意付出什么以及想要的结果是什么。智慧的表现就是通过此种思考方式,调整自己对各种事情的预期,达到与现实的平衡。把这种思路应用于学习黑客技术,基本上可以分为以下三个问题。
**首先,你需要明确自己为什么要学习这个技术,也就是你的动机。**如果你的动机是无法持续的,例如只是为了破解密码或挖掘系统漏洞,那我建议你将动机改为可持续的,比如你希望保持一项记录或者赢得他人的尊重。这种动机会随着时间变化而变化,只有这样才能提供持久的动力,让你坚持更长时间,取得更大成就。
**其次,你需要考虑你能付出什么。**你必须明白,任何事都是有代价的,特别是年轻的你,对“代价”的理解可能还不够深刻,请注意这一点。
学习黑客技术是一项非常有吸引力、非常有价值,同时也是非常酷的事情,但要完成它,需要你要么拥有极好的运气,要么就是付出超人的努力。
例如,我们经常看到媒体报道某个黑客团队在几秒钟内就破解了某个浏览器,在几秒钟内绕过了某种保护机制。实际上,这只是他们运行了自己事先编写好的代码,而那几秒钟其实是代码运行的时间。据我所知,他们为了这几秒钟的展示,需要经过至少十几个甚至数十个不眠之夜,才能编写出可能只有几百字节的艺术品般的代码(也就是Exploit),然后才能拿去现场表演。
如果这个国度里最厉害的黑客都需要如此付出,那么作为你这样一个默默无闻的人来说,想要学会这项技术需要付出多少个不眠之夜呢?
**最后,你需要考虑你的学习方向是什么。**信息安全领域的方向非常多,大致可以分为网络安全、软件安全和基础安全三类。其中网络安全包括网络渗透、通信安全、电信安全等,软件安全包括授权控制、漏洞挖掘、加密解密等,基础安全则包括理论安全、密码学等。
我经常收到的一个问题就是“我看了你的那幅图,但我想知道我应该从何处开始学习?”。确实,虽然我的这幅图得到了极大的关注,但仍有很多人似乎没有因为这幅图而找到自己的方向,他们还是迷茫的。这并不能全怪他们。
在开始任何事情之前,我们都从了解自己不需要什么开始成长。例如,大约95%以上的大学生可能并不清楚他们真正想要的是什么,他们只知道他们不想要什么,这其实是一种不成熟的表现。在我们的方言中,我们称之为"青瓜蛋子"。
那么,对于这些“青瓜蛋子”,他们最需要的是什么呢?就是来自前辈的引导,告诉他们真正需要的是什么。然后,他们突然明白了,仿佛这就是他们此时最需要的东西。
但实际上,大多数事情并没有那么复杂,随意选择一个你最感兴趣的方向就好了;如果你找不到,那就随便选择一个你觉得自己最擅长的方向;如果你还找不到,那就选择一个你觉得最顺眼的方向。
学习信息安全技术与做其他事情一样,如果你想取得成功,必然是要成为攀登该领域众多高峰的强者。然而,你一开始并不能做到这一点,因此最简单的方法就是任选一座不太低的山峰试着攀登。因为只要你能登上其中一座山峰,你就能俯瞰其他山峰,并掌握了快速攀登相邻山峰的方法。
学习信息安全技术也应如此,你应该寻找一个深度适中的方向(例如,渗透可能有些浅)进行深入研究。等你对这个领域有了深入的理解后,其他方向的技术将会自然而然的触类旁通。
4. 学习路线详解
关于黑客&网络安全学习指南
学好 网络安全不论是就业还是做副业赚钱都不错,但要学会 网络安全 还是要有一个学习规划。最后给大家分享一份全套的 网络安全学习资料,给那些想学习网络安全的小伙伴们一点帮助!
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础等教程,带你从零基础系统性的学好网络安全。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.网络安全视频教程600集和配套电子书
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
温馨提示:篇幅有限,已打包文件夹,获取方式在:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
