网络安全（黑客）自学

 一、自学网络安全学习的误区和陷阱

1.不要试图先以编程为基础的学习再开始学习

我在之前的回答中我都一再强调不要以编程为基础再开始学习网络安全一般来说学习编程不但学习周期长而且实际向安全过渡后可用到的关键知识并不多

一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间容易半途而废。而且学习编程只是工具不是目的我们的目标不是成为程序员。建议在学习网络安全的过程中哪里不会补哪里这样更有目的性且耗时更少

2.不要把深度学习作为入门第一课

很多人都是冲着要把网络安全学好学扎实来的于是就很容易用力过猛陷入一个误区就是把所有的内容都要进行深度学习但是把深度学习作为网络安全第一课不是个好主意。原因如下

【1】深度学习的黑箱性更加明显很容易学的囫囵吞枣

【2】深度学习对自身要求高不适合自学很容易走进死胡同

3.不要收集过多的资料

网上有很多关于网络安全的学习资料动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”一下子购买十几本书或者收藏几十个视频

网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料下面我会推荐一些自认为对小白还不错的学习资源耐心往下看

二、学习网络安全的一些前期准备

1.硬件选择

经常会问我“学习网络安全需要配置很高的电脑吗”答案是否定的黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以不要打着学习的名义重新购买机器...

2.软件选择

很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统Linux虽然看着很酷炫但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习

至于编程语言首推Python因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的所以选择PHP也是可以的。其他语言还包括C++、Java...

很多朋友会问是不是要学习所有的语言呢答案是否定的引用我上面的一句话学习编程只是工具不是目的我们的目标不是成为程序员

这里额外提一句学习编程虽然不能带你入门但是却能决定你能在网络安全这条路上到底能走多远所以推荐大家自学一些基础编程的知识

3.语言能力

我们知道计算机最早是在西方发明出来的很多名词或者代码都是英文的甚至现有的一些教程最初也是英文原版翻译过来的而且一个漏洞被发现到翻译成中文一般需要一个星期的时间在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词在与其他黑客交流技术或者经验时也会有障碍所以需要一定量的英文和黑客专业名词不需要特别精通但是要能看懂基础的

比如说肉鸡、挂马、shell、WebShell等等

三、网络安全学习路线

第一阶段基础操作入门学习基础知识

入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍一般来说这个过程在1个月左右比较合适。

在这个阶段你已经对网络安全有了基本的了解。如果你学完了第一步相信你已经在理论上明白了上面是sql注入什么是xss攻击对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基

所谓的“打地基”其实就是系统化的学习计算机基础知识。而想要学习好网络安全首先要具备5个基础知识模块

1.操作系统

2.协议/网络

3.数据库

4.开发语言

5.常见漏洞原理

学习这些基础知识有什么用呢

计算机各领域的知识水平决定你渗透水平的上限。

【1】比如你编程水平高那你在代码审计的时候就会比别人强写出的漏洞利用工具就会比别人的好用

【2】比如你数据库知识水平高那你在进行SQL注入攻击的时候你就可以写出更多更好的SQL注入语句能绕过别人绕不过的WAF

【3】比如你网络水平高那你在内网渗透的时候就可以比别人更容易了解目标的网络架构拿到一张网络拓扑就能自己在哪个部位拿到以一个路由器的配置文件就知道人家做了哪些路由

【4】再比如你操作系统玩的好你提权就更加强你的信息收集效率就会更加高你就可以高效筛选出想要得到的信息

第二阶段实战操作

1.挖SRC

挖SRC的目的主要是讲技能落在实处学习网络安全最大的幻觉就是觉得自己什么都懂了但是到了真的挖漏洞的时候却一筹莫展而SRC是一个非常好的技能应用机会。

2.从技术分享帖漏洞挖掘类型学习

观看学习近十年所有0day挖掘的帖然后搭建环境去复现漏洞去思考学习笔者的挖洞思维培养自己的渗透思维​​​​​​

3.靶场练习

自己搭建靶场或者去免费的靶场网站练习有条件的话可以去购买或者报靠谱的培训机构一般就有配套的靶场练习

第三阶段参加CTF比赛或者HVV行动

推荐CTF比赛

CTF有三点

【1】接近实战的机会。现在网络安全法很严格不像之前大家能瞎搞

【2】题目紧跟技术前沿而书籍很多落后了

【3】如果是大学生的话以后对找工作也很有帮助

如果你想打CTF比赛直接去看赛题赛题看不懂根据不懂的地方接着去看资料

推荐HVV护网

HVV有四点

【1】也能极大的锻炼你提高自身的技术最好是参加每年举行的HVV行动

【2】能认识许多圈内的大佬扩大你的人脉

【3】HVV的工资也很高所以参加的话也能让你赚到不少钱

【4】和CTF比赛一样如果是大学生的话以后对找工作也很有帮助

四、学习资料的推荐

书单推荐

计算机操作系统

【1】编码隐藏在计算机软硬件背后的语言

【2】深入理解操作系统

【3】深入理解windows操作系统

【4】Linux内核与实现

编程开发类

【1】 windows程序设计

【2】windwos核心变成

【3】Linux程序设计

【4】unix环境高级变成

【5】IOS变成

【6】第一行代码Android

【7】C程序语言设计

【8】C primer plus

【9】C和指针

【10】C专家编程

【11】C陷阱与缺陷

【12】汇编语言王爽

【13】java核心技术

【14】java编程思想

【15】Python核心编程

【16】Linuxshell脚本攻略

【17】算法导论

【18】编译原理

【19】编译与反编译技术实战

【20】代码整洁之道

【21】代码大全

【22】TCP/IP详解

【23】Rootkit 系统灰色地带的潜伏者

【24】黑客攻防技术宝典

【25】加密与解密

【26】C++ 反汇编与逆向分析技术揭秘

【27】web安全测试

【28】白帽子讲web安全

【29】精通脚本黑客

【30】web 前端黑客技术揭秘

【31】程序员的应用

【32】英语写作手册风格的要素

常见的网络安全及论坛

    看雪论坛
    安全课
    安全牛
    安全内参
    绿盟
    先知社区
    XCTF联盟

我下面也给大家整理了一些网络安全的资料大家不想一个一个去找的话可以参考一下这些资料哈

视频教程

SRC&黑客技术文档

黑客工具合集

结语

网络安全产业就像一个江湖各色人等聚集。相对于欧美国家基础扎实懂加密、会防护、能挖洞、擅工程的众多名门正派我国的人才更多的属于旁门左道很多白帽子可能会不服气因此在未来的人才培养和建设上需要调整结构鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”才能解人才之渴真正的为社会全面互联网化提供安全保障。

特别声明
此教程为纯技术分享本教程的目的决不是为那些怀有不良动机的人提供及技术支持也不承担因为技术被滥用所产生的连带责任本教程的目的在于最大限度地唤醒大家对网络安全的重视并采取相应的安全措施从而减少由网络安全而带来的经济损失。