从“小白”到“白帽子黑客”的实用指南

在安全的江湖之中，有一群武功高强、行侠仗义的英雄叫做：

“白帽子黑客”

他们热衷于研究网络与计算机，

善于发现安全漏洞，

但他们并不会做坏事，

而是将漏洞及时提交给企业协助修复，

在锻炼自己能力的同时也能获取企业反馈的奖励。

他们可以是医生、可以是老板，

不过大部分 “白帽子黑客”本身也是企业的安全人员

从事着安全建设与安全维护的工作。

古语有云“与其临渊羡鱼，不如退而结网。” 你是否愿意成为一名行走在信息安全江湖的“白帽子黑客”呢？

黑客需要掌握的知识很多，不是一朝一夕就能学完的，所以对于“小白”而言，Web安全容易上手，是最好的入门方向。不仅如此，随着Web技术应用广泛、发展迅速，“Web安全”已经成为信息安全中一个重要的分支，就业范围也非常广泛。

听到这里，你是不是迫不及待地想要成为一名Web安全高手？

那么问题来了

如何从安全“小白”

成为一名Web安全高手呢？

首先，让我们来听一下几位Web安全大牛的建议：

1. 首先要有一定的Web基础，才能更好的学习Web安全

Web基础知识这里我们不做详解，基本上我们可以通过W3C站点学习：

http://www.w3school.com.cn/

2. 就像武侠小说一样，学习神功通常需要一本武功秘籍

这里，给大家推荐几本非常厉害的Web安全武功秘籍：

1）《白帽子讲Web安全》

2）《黑客攻防技术宝典—Web实战篇》

3）《Web前端黑客技术揭秘》

这里暂且就先推荐这三本，大家看完这几本后如果还有兴趣阅读，可以再去搜寻其他书籍阅读参考。

回想起10年前，若想学习安全技术，就只能从《黑客X档案》、《黑客手册》的杂志中汲取，学习起来真是非常不容易。所以我们不得不感谢安全前辈们沉淀分享了这么优质的学习教材。

3. 行走江湖，除了好的武功，还需要选一件适合自己的武器

在Web安全中，使用和掌握一些常用的Web安全工具，不仅能够达到事半功倍的效果，还能够帮助我们扩展测试思路。如：

1）AWVS，综合漏扫工具

2）burpsuite、Charles、fiddler等抓包工具

3）sqlmap，注入工具

4）御剑，经典的敏感文件扫描工具

4. 在江湖中行走，侠客们都会在客栈一起聊天、讨论，获取最新的消息

在Web安全中，我们也需要了解新的咨询、技术等，我们需要关注一些常见的站点和微信公众号。如：

1）Freebuf（http://www.freebuf.com/）

2）T00ls（https://www.t00ls.net/）

3）SecWiki（https://www.sec-wiki.com/）

各类安全站点已经发展到了百家争鸣的热闹场面，优质的站点也有很多，你也可以关注一个安全圈的导航站自己去探索和发现适合自己的站点：

安全圈info：http://www.anquanquan.info/

5. 纸上得来终觉浅，绝知此事要躬行

在山上修炼的武林高手，最终都需要下山进行实战修炼。Web安全高手也是如此，不是掌握几个概念就是高手，而是需要实战，用漏洞喂出来的。

“安全小白”常见问题

其实大部分的白帽子或者安全从业者，基本也是按照这个学习路线去学习和提高自己的。

我们发现，Web安全大牛的整体方针和建议都很好，但是当我们自己在落地学习的时候，会有一堆的问题，尤其是对于“安全小白”。如：

1）自己学习周期长，没有成就感，缺乏动力，很难坚持； 2）遇到问题或困难，找不到人请教辅导，就算有大牛抽空回答论坛或者留言的问题，也过了很久，热情逐渐被消磨； 3）网上虽然有很多安全文档和视频教程，但是参差不齐，也不系统，感觉学起来很盲目； 4）自己规划很难做到“循序渐进”，学习上遇到不懂的内容，不知道要如何补充； 5） 当然，还是有部分同学非常努力，成功学有小成，但是由于缺乏系统化，虽然我们想建造一栋高楼的，但是自己拼凑学来的知识就像胡乱砌成的墙，有很多缝隙，限制了高楼建造的高度和速度； 6）最后一点，有很多“安全小白”其实是想成为一名Web安全工程师，在面试的时候，才发现很多问题和自己学得都不太对口。所以，了解企业中的“安全工程师”岗位到底需要掌握哪些知识以及具备什么能力也是一个大问题。

12月28日晚上20:00

来自网易的资深安全工程师黄龙将与大家分享

《黑客事件大盘点》

线上直播+答疑互动，欢迎你来前排收听！

↑↑扫描上方QQ群二维码↑↑

加入web安全工程师交流群，收听免费直播课

此外，网易云课堂最新上线《Web安全工程师》微专业，该课程由7位网易安全大牛匠心打造，是一套从入门到进阶，理论联系实践的全方位学习方案。

当被问及制作这套教程的初衷时：微专业的老师是这样说的：

“一个Web安全爱好者，学Web知识，要学到什么程度？Web有哪些知识？怎么学？就是一个学员自身很难解决的问题。如果同学们长时间解决不了这些问题，就会逐渐对Web安全失了兴趣，或者会进入滞留期，Web安全技能难以得到提升。 面对这个行业的人才缺失，而大部分想学习Web安全的同学又觉得入门太难的窘境，我希望我们的课程可以帮助他们。 我希望我们在面试的时候，不会再遇到一大堆面试这个职业却对Web安全一无所知或者毫无建树的同学。”

最后，希望大家能成功从一名“安全小白”进阶为Web安全高手，行走在信息安全的江湖之中。