0基础如何入门黑客学习？（附黑客学习资料）

0基础如何入门黑客学习？（附黑客学习资料）

说到黑客大家可能觉得很神秘，其实我们说的的黑客是白帽子黑客，就是去寻找网站、系统、软件等漏洞并帮助厂商修复的人，刚入门的黑客大部分从事渗透工作，而渗透大部分属于Web安全方向，就是利用漏洞来取得一些数据或达到控制，让对方程序崩溃等效果。

01一些常见的名词解释

**渗透：**就是通过扫描检测你的网络设备及系统有没有安全漏洞，有的话就可能被入侵，就像一滴水透过一块有漏洞的木板，渗透成功就是系统被入侵。

**后门：**这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置，用于访问、查看或者控制这台主机。

这些改动表面上是很难被察觉的，就好象是入侵者偷偷的配了一把主人房间的钥匙，或者在不起眼处修了一条按到，可以方便自身随意进出。通常大多数木马程序都可以被入侵者用于创建后门（BackDoor）

**木马：**就是那些表面上伪装成了正常的程序，但是当这些程序运行时，就会获取系统的整个控制权限。

有很多黑客就是热衷使用木马程序来控制别人的电脑，比如灰鸽子、Gh0st、PcShare等等。

**肉鸡：**所谓“肉鸡”是一种很形象的比喻，比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备，用于发动网络攻击。例如在2016年美国东海岸断网事件中，黑客组织控制了大量的联网摄像头用于发动网络攻击，这些摄像头则可被称为“肉鸡”。

**0day漏洞：**0day漏洞最早的破解是专门针对软件的，叫做WAREZ，后来才发展到游戏，音乐，影视等其他内容的。0day中的0表示Zero，早期的0day表示在软件发行后的24小时内就出现破解版本。在网络攻防的语境下，0day漏洞指那些已经被攻击者发现掌握并开始利用，但还没有被包括受影响软件厂商在内的公众所知的漏洞，这类漏洞对攻击者来说有完全的信息优势，由于没有漏洞的对应的补丁或临时解决方案，防守方不知道如何防御，攻击者可以达成最大可能的威胁。

**1day漏洞：**指漏洞信息已公开但仍未发布补丁的漏洞。此类漏洞的危害仍然较高，但往往官方会公布部分缓解措施，如关闭部分端口或者服务等。

**Nday漏洞：**指已经发布官方补丁的漏洞。通常情况下，此类漏洞的防护只需更新补丁即可，但由于多种原因，导致往往存在大量设备漏洞补丁更新不及时，且漏洞利用方式已经在互联网公开，往往此类漏洞是黑客最常使用的漏洞。例如在永恒之蓝事件中，微软事先已经发布补丁，但仍有大量用户中招。

**SRC：**即Security Response Center，中文名为安全应急响应中心，厂商的安全部门，主要负责审核你挖掘的漏洞并提供奖励。

Web安全必须要了解Web方面的一些基础知识做为铺垫去学习这门技术，因为不是人人都可以直接先渗透再进行基础知识等方面学习的，所以为了更好的入门的Web安全必须要先掌握一些基础知识。

02怎样入门 Web 安全？

了解基本漏洞类型首先需要了解常见的Web漏洞类型，如XSS、CSRF、SQL注入、命令执行、代码执行、URL跳转等，合天网安实验室“靶场平台”上就有很多常见的漏洞复现，可以让新手在了解漏洞的同时也能明白其中的原理。

熟练使用各种操作系统实际的生产环境不同于靶场，为了更深入地利用漏洞，你还需要学会熟练使用不同的操作系统，同时还要对他们的安全特性有所了解。
根据以上网络安全技能表不难看出，网络安全需要接触的技术还远远很多，常见的技能需要学习：外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

03网络安全的知识多而杂，怎么科学合理安排？

一、基础阶段

★中华人民共和国网络安全法 （包含18个知识点）
★Linux操作系统 （包含16个知识点）
★计算机网络 （包含12个知识点）
★SHELL （包含14个知识点）
★HTML/CSS （包含44个知识点）
★JavaScript （包含41个知识点）
★PHP入门 （包含12个知识点）
★MySQL数据库 （包含30个知识点）
★Python （包含18个知识点）
————————————————

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

二、渗透阶段

■SQL注入的渗透与防御（包含36个知识点）
■XSS相关渗透与防御（包含12个知识点）
■上传验证渗透与防御（包含16个知识点）
■|文件包含渗透与防御（包含12个知识点）
■CSRF渗透与防御（包含7个知识点）
■SSRF渗透与防御（包含6个知识点）
■XXE渗透与防御（包含5个知识点）
■远程代码执行渗透与防御（包含7个知识点）
■…（包含…个知识点）
————————————————

掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

三、安全管理（提升）

★渗透报告编写（包含21个知识点）
★等级保护2.0（包含50个知识点）
★应急响应（包含5个知识点）
★代码审计（包含8个知识点）
★风险评估（包含11个知识点）
★安全巡检（包含12个知识点）
★数据安全（包含25个知识点）
————————————————

主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。

这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位，这一阶段可学可不学。

四、提升阶段（提升）

■密码学（包含34个知识点）
■JavaSE入门（包含92个知识点）
■C语言（包含140个知识点）
■C++语言（包含181个知识点）
■Windows逆向（包含46个知识点）
■CTF夺旗赛（包含36个知识点）
■Android逆向（包含40个知识点）
————————————————

主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。

主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

结语

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果