从“小白”到“白帽子黑客”的实用指南

在安全的江湖之中,有一群武功高强、行侠仗义的英雄叫做:

“白帽子黑客”

他们热衷于研究网络与计算机,

善于发现安全漏洞,

但他们并不会做坏事,

而是将漏洞及时提交给企业协助修复,

在锻炼自己能力的同时也能获取企业反馈的奖励。

他们可以是医生、可以是老板,

不过大部分 “白帽子黑客”本身也是企业的安全人员

从事着安全建设与安全维护的工作。

古语有云“与其临渊羡鱼,不如退而结网。” 你是否愿意成为一名行走在信息安全江湖的“白帽子黑客”呢?

黑客需要掌握的知识很多,不是一朝一夕就能学完的,所以对于“小白”而言,Web安全容易上手,是最好的入门方向。不仅如此,随着Web技术应用广泛、发展迅速,“Web安全”已经成为信息安全中一个重要的分支,就业范围也非常广泛。

听到这里,你是不是迫不及待地想要成为一名Web安全高手?

那么问题来了

如何从安全“小白”

成为一名Web安全高手呢?

首先,让我们来听一下几位Web安全大牛的建议:

1. 首先要有一定的Web基础,才能更好的学习Web安全

Web基础知识这里我们不做详解,基本上我们可以通过W3C站点学习:

http://www.w3school.com.cn/

2. 就像武侠小说一样,学习神功通常需要一本武功秘籍

这里,给大家推荐几本非常厉害的Web安全武功秘籍:

1)《白帽子讲Web安全》

2)《黑客攻防技术宝典—Web实战篇》

3)《Web前端黑客技术揭秘》

这里暂且就先推荐这三本,大家看完这几本后如果还有兴趣阅读,可以再去搜寻其他书籍阅读参考。

回想起10年前,若想学习安全技术,就只能从《黑客X档案》、《黑客手册》的杂志中汲取,学习起来真是非常不容易。所以我们不得不感谢安全前辈们沉淀分享了这么优质的学习教材。

3. 行走江湖,除了好的武功,还需要选一件适合自己的武器

在Web安全中,使用和掌握一些常用的Web安全工具,不仅能够达到事半功倍的效果,还能够帮助我们扩展测试思路。如:

1)AWVS,综合漏扫工具

2)burpsuite、Charles、fiddler等抓包工具

3)sqlmap,注入工具

4)御剑,经典的敏感文件扫描工具

4. 在江湖中行走,侠客们都会在客栈一起聊天、讨论,获取最新的消息

在Web安全中,我们也需要了解新的咨询、技术等,我们需要关注一些常见的站点和微信公众号。如:

1)Freebuf(http://www.freebuf.com/)

2)T00ls(https://www.t00ls.net/)

3)SecWiki(https://www.sec-wiki.com/)

各类安全站点已经发展到了百家争鸣的热闹场面,优质的站点也有很多,你也可以关注一个安全圈的导航站自己去探索和发现适合自己的站点:

安全圈info:http://www.anquanquan.info/

5. 纸上得来终觉浅,绝知此事要躬行

在山上修炼的武林高手,最终都需要下山进行实战修炼。Web安全高手也是如此,不是掌握几个概念就是高手,而是需要实战,用漏洞喂出来的。

“安全小白”常见问题

其实大部分的白帽子或者安全从业者,基本也是按照这个学习路线去学习和提高自己的。

我们发现,Web安全大牛的整体方针和建议都很好,但是当我们自己在落地学习的时候,会有一堆的问题,尤其是对于“安全小白”。如:

1)自己学习周期长,没有成就感,缺乏动力,很难坚持; 2)遇到问题或困难,找不到人请教辅导,就算有大牛抽空回答论坛或者留言的问题,也过了很久,热情逐渐被消磨; 3)网上虽然有很多安全文档和视频教程,但是参差不齐,也不系统,感觉学起来很盲目; 4)自己规划很难做到“循序渐进”,学习上遇到不懂的内容,不知道要如何补充; 5) 当然,还是有部分同学非常努力,成功学有小成,但是由于缺乏系统化,虽然我们想建造一栋高楼的,但是自己拼凑学来的知识就像胡乱砌成的墙,有很多缝隙,限制了高楼建造的高度和速度; 6)最后一点,有很多“安全小白”其实是想成为一名Web安全工程师,在面试的时候,才发现很多问题和自己学得都不太对口。所以,了解企业中的“安全工程师”岗位到底需要掌握哪些知识以及具备什么能力也是一个大问题。

12月28日晚上20:00

来自网易的资深安全工程师黄龙将与大家分享

《黑客事件大盘点》

线上直播+答疑互动,欢迎你来前排收听!

↑↑扫描上方QQ群二维码↑↑

加入web安全工程师交流群,收听免费直播课

此外,网易云课堂最新上线《Web安全工程师》微专业,该课程由7位网易安全大牛匠心打造,是一套从入门到进阶,理论联系实践的全方位学习方案。

当被问及制作这套教程的初衷时:微专业的老师是这样说的:

“一个Web安全爱好者,学Web知识,要学到什么程度?Web有哪些知识?怎么学?就是一个学员自身很难解决的问题。如果同学们长时间解决不了这些问题,就会逐渐对Web安全失了兴趣,或者会进入滞留期,Web安全技能难以得到提升。 面对这个行业的人才缺失,而大部分想学习Web安全的同学又觉得入门太难的窘境,我希望我们的课程可以帮助他们。 我希望我们在面试的时候,不会再遇到一大堆面试这个职业却对Web安全一无所知或者毫无建树的同学。”

最后,希望大家能成功从一名“安全小白”进阶为Web安全高手,行走在信息安全的江湖之中。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-12-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

全球手机都存在这一漏洞:2G/3G全中枪

德国研究人员称,全球手机运营商所使用的一种系统中的安全漏洞让黑客大规模监视用户手机流量成为可能。 这个安全问题涉及到通讯标准系统Signaling System...

39690
来自专栏FreeBuf

微信仓促更新,黑产加速圈钱,“微信号”黑市规模接近40亿

在这次微信的更新中,长按公众号文章会出现“未完成的功能”字样,此次改版在还“未完成”状态仓促上马,说明张小龙背负着越来越重的商业变现压力。讽刺的是,就在张小龙眼...

39930
来自专栏FreeBuf

APT防御的他山石—思科内部安全团队解读APT

近日FireEye上市大热,360公司也要推出APT防御产品。在APT的战火已经烧到天朝之际,且看看思科自家的安全防御团队CSIRT(response to c...

21780
来自专栏新智元

【为中国芯生态万字投书马化腾】从Intel和ARM争霸战,看看做芯片有多难

38160
来自专栏禹都一只猫博客

评程序员和会不会修电脑到底有几毛钱关系?

额...工作或者学习中总会有人找身边的程序员修电脑,加班加点的工作之余,还得兼做电脑维修。

11020
来自专栏镁客网

拉酷科技龚华超:用智能键盘Nums改变笔记本触控板,用触觉感知改变世界 | 镁客请讲

22000
来自专栏安恒信息

ICREACH:美国国安局(NSA)秘密制造的隐私搜索引擎

据机密文件所述,美国国家安全局正在秘密向23个政府机构提供数据,其来源为一个“类谷歌”搜索引擎,它的数据库拥有超过8500亿条数据记录,包括电话号码...

35270
来自专栏人人都是极客

从Intel和ARM争霸战, 看看做芯片到底有多难

新智元推送了《中国芯“逃兵”:缺芯是因为缺钱;中国芯“老炮”:芯片救国靠BAT不是开玩笑》一文,引起了无数从业者热议。

35530
来自专栏罗超频道

搞个锤子的国产ROMEN!

罗超为虎嗅网、雷锋网撰稿,发表于2013年3月28日首页 是的,你没看错。今天吐槽的对象包括但不限于锤子 ROM,而是,锤子ROM们-ROMEN。虎嗅有...

38840
来自专栏飞雪无情的博客

跨维度的打击,是可以直接秒杀的

大学玩《魔兽世界》,同样70级,野外相遇,一身紫套可以直接秒你一身绿的,没啥原因,差距太大,可以无视你的风骚操作技术,只要让碰到一下,直接秒杀。

11910

扫码关注云+社区

领取腾讯云代金券