從「小白」到「白帽子黑客」的實用指南

在安全的

江湖之中，有一群武功高強、行俠仗義的英雄叫做：

「白帽子黑客」

他們熱衷於研究網路與計算機，

善於發現安全漏洞，

但他們並不會做壞事，

而是將漏洞及時提交給企業協助修復，

在鍛煉自己能力的同時也能獲取企業反饋的獎勵。

他們可以是醫生、可以是老闆，

不過大部分 「白帽子黑客」本身也是企業的安全人員

從事著安全建設與安全維護的工作。

古語有云「與其臨淵羨魚，不如退而結網。」

你是否願意成為一名行走在信息安全江湖的「白帽子黑客」呢？

黑客需要掌握的知識很多，不是一朝一夕就能學完的，所以

對於「小白」而言，Web安全容易上手，是最好的入門方向。

不僅如此，隨著Web技術應用廣泛、發展迅速，「Web安全」已經成為信息安全中一個重要的分支，就業範圍也非常廣泛。

聽到這裡，你是不是迫不及待地想要成為一名Web安全高手？

那麼問題來了

如何從安全「小白」

成為一名Web安全高手呢？

首先，讓我們來聽一下

幾位Web安全大牛的建議：

1. 首先要有一定的Web基礎，

才能更好的學習Web安全

Web基礎知識這裡我們不做詳解，基本上我們可以通過W3C站點學習：

http://www.w3school.com.cn/

2. 就像武俠小說一樣，

學習神功通常需要一本武功秘籍

這裡，給大家推薦幾本非常厲害的Web安全武功秘籍：

1）《白帽子講Web安全》

2）《黑客攻防技術寶典—Web實戰篇》

3）《Web前端黑客技術揭秘》

這裡暫且就先推薦這三本，大家看完這幾本後如果還有興趣閱讀，可以再去搜尋其他書籍閱讀參考。

回想起10年前，若想學習安全技術，就只能從《黑客X檔案》、《黑客手冊》的雜誌中汲取，學習起來真是非常不容易。所以我們不得不感謝安全前輩們沉澱分享了這麼優質的學習教材。

3. 行走江湖，除了好的武功，

還需要選一件適合自己的武器

在Web安全中，使用和掌握一些常用的Web安全工具，不僅能夠達到事半功倍的效果，還能夠幫助我們擴展測試思路。

如：

1）AWVS，綜合漏掃工具

2）burpsuite、Charles、fiddler等抓包工具

3）sqlmap，注入工具

4）御劍，經典的敏感文件掃描工具

4. 在江湖中行走，

俠客們都會在客棧一起聊天、討論，獲取最新的消息

在Web安全中，我們也需要了解新的諮詢、技術等，我們需要關注一些常見的站點和微信公眾號。

如：

1）Freebuf（

http://www.freebuf.com/

）

2）T00ls（

https://www.t00ls.net/

）

3）SecWiki（

https://www.sec-wiki.com/

）

各類安全站點已經發展到了百家爭鳴的熱鬧場面，優質的站點也有很多，你也可以關注一個安全圈的導航站自己去探索和發現適合自己的站點：

安全圈info：

http://www.anquanquan.info/

5. 紙上得來終覺淺，絕知此事要躬行

在山上修鍊的武林高手，最終都需要下山進行實戰修鍊。

Web安全高手也是如此，不是掌握幾個概念就是高手，而是需要實戰，用漏洞喂出來的。

「安全小白」常見問題

其實大部分的白帽子或者安全從業者，基本也是按照這個學習路線去學習和提高自己的。

我們發現，Web安全大牛的整體方針和建議都很好，但是當我們自己在落地學習的時候，會有一堆的問題，尤其是對於「安全小白」。

如：

1）自己學習周期長，沒有成就感，缺乏動力，很難堅持；

2）遇到問題或困難，找不到人請教輔導，就算有大牛抽空回答論壇或者留言的問題，也過了很久，熱情逐漸被消磨；

3）網上雖然有很多安全文檔和視頻教程，但是參差不齊，也不系統，感覺學起來很盲目；

4）自己規劃很難做到「循序漸進」，學習上遇到不懂的內容，不知道要如何補充；

5） 當然，還是有部分同學非常努力，成功學有小成，但是由於缺乏系統化，雖然我們想建造一棟高樓的，但是自己拼湊學來的知識就像胡亂砌成的牆，有很多縫隙，限制了高樓建造的高度和速度；

6）最後一點，有很多「安全小白」其實是想成為一名Web安全工程師，在面試的時候，才發現很多問題和自己學得都不太對口。所以，了解企業中的「安全工程師」崗位到底需要掌握哪些知識以及具備什麼能力也是一個大問題。

12月28日晚上20:00

來自網易的資深安全工程師黃龍將與大家分享

《黑客事件大盤點》

線上直播+答疑互動，歡迎你來前排收聽！

↑

↑掃描上方QQ群二維碼

↑↑

加入web安全工程師交流群，收聽免費直播課

此外，網易雲課堂最新上線《Web安全工程師》微專業，該課程由7位網易安全大牛匠心打造，是一套從入門到進階，理論聯繫實踐的全方位學習方案。

當被問及製作這套教程的初衷時：微專業的老師是這樣說的：

「

一個Web安全愛好者，學Web知識，要學到什麼程度？Web有哪些知識？怎麼學？就是一個學員自身很難解決的問題。如果同學們長時間解決不了這些問題，就會逐漸對Web安全失了興趣，或者會進入滯留期，Web安全技能難以得到提升。

面對這個行業的人才缺失，而大部分想學習Web安全的同學又覺得入門太難的窘境，我希望我們的課程可以幫助他們。

我希望我們在面試的時候，不會再遇到一大堆面試這個職業卻對Web安全一無所知或者毫無建樹的同學。」

最後，希望大家能成功從一名「安全小白」進階為Web安全高手，行走在信息安全的江湖之中。

點擊

閱讀原文

，即可參與微專業，入門信息安全

請您繼續閱讀更多來自 FreeBuf 的精彩文章: