胡乱自学黑客的，能骂醒一个算一个

最新推荐文章于 2025-12-16 13:31:23 发布

原创最新推荐文章于 2025-12-16 13:31:23 发布 · 668 阅读

15 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全 #网络安全

网络安全专栏收录该内容

65 篇文章

订阅专栏

写在开篇

为啥说胡乱自学黑客的，能骂醒一个算一个。因为很多人学会个工具就觉得自己是黑客了，其实在真正的黑客眼里，你就是个脚本小子而已。

首先我谈下对黑客&网络安全的认知，其实最重要的是兴趣热爱，不同于网络安全工程师，他们大都是培训机构培训出来的，具备的基本都是防御和白帽子技能，他们绝大多数的人看的是工资，他们是为了就业而学习，为了走捷径才去参加培训。
在这里插入图片描述

而我进大厂主要是靠自学内推进来是，当时我才20岁，基于对脚本小子的热爱，我每次工作做完了，就天天抱着本书看，甚至不会计较和主动研究各个技术和包揽一些任务（和大多数躺平族不一样），可能还是觉得自己不足，我又把tcp/ip协议大全，路由交换°这些基础啃了一遍，c++都学了一阵子。基于自己的学校出身，我身上也不可避免存在一些自卑心理，老觉得自己是野路子出来，想游击队变正规军系统的梳理。我近个月还在看php（对就是那个最好的编程语言）、后续我也打算在看http权威指南。

下面给大家分享一下我的学习方法！（我还整理了282G全套网安学习笔记，需要点下方领取哦~）

一、如何学习网络安全

1.不要试图以编程为基础去学习网络安全

不要以编程为基础再开始学习网络安全，一般来说，学习编程不但学习周期长，且过渡到网络安全用到编程的用到的编程的关键点不多。一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间，容易半途而废。建议在学习网络安全的过程中，哪里不会补哪里，这样更有目的性且耗时更少。学习编程能决定你能在网络安全这条路上到底能走多远，所以推荐大家自学一些基础编程的知识

2.不要刚开始就深度学习网络安全

学习讲究这方法，需要一步一步的来，由浅至深，慢慢的加大难度，很多人刚开始就猛学，很容易到后面的时候乏力，越学可能就越学得枯燥，到最后就很容易放弃了。

3.收集适当的学习资料

网上有很多网络安全的学习资料。而很多朋友都有“收集癖”，一下子很多书籍，收藏几十个视频，觉得学习资料越多越好，然而网上的学习资料重复性极高。建议选择大众受用的学习资料。

4.适当的报班学习

很多人觉得报班就是浪费钱财，觉得自己自学就很好了，但其实自学也是需要一定的天赋和理解能力，且自学的周期较长，一些急躁的学习者或者急于找到工作的学习者，还是报班学的比较轻松，学习周期不长，学到的东西也不会少，建议学习者根据自己的自身条件选择是否报班。

二、当一个网络安全工程师要具备的技能

1、编程语言： Python，PHP，web前端三件套（HTML/CSS/JavaScript 基础），Mysql。

作为一种高级编程语言，Python越来越受到网络专家的欢迎。它之所以吸引人，主要是因为它代码的可读性、语法清晰和简单，以及大量库的可用性。

PHP是用于开发网站的服务器端编程语言。由于大多数网站都是使用PHP创建的，因此学习该语言可以让你了解如何抵御入侵者。

SQL(结构化查询语言)主要用于管理存储在数据库中的数据。由于当前数据存储系统的爆炸式增长，SQL被广泛用于维护和检索数据。同样，黑客越来越多地编排语言来破坏或泄露存储的数据。例如，SQL注入攻击涉及利用SQL漏洞来窃取或修改数据库中保存的数据。因此，充分了解SQL语言对于网络安全至关重要。

2、开发工具： Phpstrom、Pycharm、Navicat 等。

PhpStorm 是 JetBrains 公司开发的一款商业的PHP集成开发工具，旨在提高用户效率，可深刻理解用户的编码，提供智能代码补全，快速导航以及即时错误检查。

PyCharm是一种Python IDE（Integrated Development Environment，集成开发环境），带有一整套可以帮助用户在使用Python语言开发时提高其效率的工具，比如调试、语法高亮、项目管理、代码跳转、智能提示、自动完成、单元测试、版本控制。

“Navicat”是一套可创建多个连接的数据库管理工具，用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和/或 MongoDB 等不同类型的数据库，并支持管理某些云数据库。

3、安全工具： Kali-linux、Metasploit（漏洞监测工具）、Burp Suite（网络漏洞扫描器）、Awvs、Sqlmap、Nmap（端口扫描器）、Cobaltstrike、Nessus、Xary、 Wireshark（手动分析包工具）、John The Ripper（密码破解）、蚁剑、冰蝎、哥斯拉等。

下面对常用工具为您详细描述一下。

Kali-linux是基于Debian
的Linux发行版，设计用于数字取证操作系统。预装了许多渗透测试软件，包括nmap 、Wireshark 、John the Ripper

Nmap（端口扫描器）：nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统

Metasploit（漏洞监测工具）：Metasploit是一款开源的安全漏洞检测工具，可以帮助专业人士识别安全性问题，并验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。

Wireshark（手动分析包工具）：Wireshark是非常流行的网络封包分析软件，可以截取网络封包，并尽可能显示出最为详细的网络封包资料。

Burp Suite（网络漏洞扫描器）：burpsuite是一款强大的渗透测试套件，包括但不限于各类渗透测试功能，搭配各类插件使用已经成为渗透测试中一款离不开的测试软件。

John The Ripper（密码破解）：John The Ripper是一个快速破解密码的软件，主要用于已知密文的情况下尝试破解出明文，目前支持大多数的加密算法。

4、安全技能：熟悉 OWASP TOP10 相关漏洞原理、利用方法及防范措施。

OWASP:开放式Web应用程序安全项目(Open Web Application Security Project)，OWASP是一家国际性组织机构，并且是一个开放的、非盈利组织，它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。