怎样当黑客？IT工程师教你体验黑客技术！

• 怎样当黑客？IT工程师教你体验黑客技术！

  在网络世界中，黑客是一个充满神秘感的群体。

  不过在“化身黑客”之前，我们得先了解什么是黑客，以及黑客背后的故事。

  

  黑客指的是擅长计算机技术、编程技能，熟悉计算机系统的人。

  值得一提的是，黑客这一词汇本身并不带有贬义色彩。只有那些出于不正当目的使用黑客技术的人，才是坏人。

  最早的黑客起源于20世纪60年代的麻省理工学院（以下简称MIT）。

  当时，学校引入了首台PDP-1计算机。然而，在MIT的人工智能实验室里，一些技术人员对那时的计算机操作系统并不满意，于是他们发挥自己的技术才能，自主研发出了著名的Incompatible Time - sharing System（ITS 系统）。

  

  PDP-1计算机|wikipedia

  这种专研的精神在MIT不断发展壮大，并借助ARPAnet（互联网的前身）传播至其他大学和研究机构。

  期间，技术人员们通过邮件和兴趣小组积极交流，这就是**“黑客”**的雏形。

  如今，随着计算机和网络技术的普及，黑客群体出现分化。

  他们中的一部分人以**“自由、共享、创新、解决问题”**为核心理念。为企业排查修复系统漏洞，为个人用户提供安全检测与咨询服务，还协助执法部门打击网络犯罪。

  但也有一部分人利用技术漏洞，破坏网络秩序。

  

  现在的黑客攻击技术非常多，比如XSS攻击、命令注入、SQL注入等。其中最常见的是XSS攻击，它常常伪装成网页上一个毫不起眼的按钮，或是弹窗形式出现。

  XSS攻击，全称为跨站脚本攻击。原理是将“其他脚本代码”插入到正常的网页内容之中，当用户访问了被注入“其他代码”的网页时，这些脚本就会自动运行。

  简单来说，网页如同舞台，正常情况下，演员（网页内容与功能）按既定剧本（网页代码）进行表演。而XSS攻击就像有人偷偷潜入舞台，插入自己的“表演”（其他脚本），干扰观众（用户）的正常观看。

  接下来，为了让大家更直观地了解XSS攻击的原理，让我们先搭建一个用户留言功能的简易网页来进行演示吧。

  第一步，我们要在电脑桌面新建一个文本文档，并取名为留言板。

  

  第二步，我们打开这个文档，并将以下留言板网页代码复制粘贴到文档内。

  留言板网页代码

  （滚动查看全部代码）

  XSS 漏洞演示

  留言板

  ​ 请输入您的留言：

  ​

  ​ 提交留言

  留言列表

  <div id="comments"></div>
  
  
  
  <script>
  
  

  ​ // 获取留言表单并添加提交事件监听

  ​ document.getElementById(‘commentForm’).addEventListener(‘submit’, function(e) {

  ​ e.preventDefault(); // 阻止表单默认提交行为

  ​ // 获取用户输入的留言内容

  ​ const comment = document.getElementById(‘comment’).value;

  ​ // 留言内容直接插入到页面的留言列表中

  ​ const commentsDiv = document.getElementById(‘comments’);

  ​ commentsDiv.innerHTML += <p>${comment}</p>;

  ​ });

  网页代码复制粘贴后效果如下。

  

  第三步，我们保存内容，返回主屏幕，将txt格式改为html格式。

  

  第四步，当我们修改后，会出现以下界面，我们选择“是”。

  

  这样，我们的留言板网页就建立好了！

  

  用浏览器打开“留言板”，你会看到一个简单的留言页面，有一个输入框和一个提交按钮，以及一个用于显示留言的区域。

  

  正常情况下，如果你在输入框中输入“哈喽，我是好奇喵！”，然后点击提交按钮，这条留言会显示在留言列表中。

  

  现在，让我们化身“黑客”，用XSS攻击这个留言板吧。

  在输入框中输入以下内容，并点击提交留言。

  XSS攻击（弹窗）脚本

  <ahref=“javascript:alert(123)”>点我试试

  这时，本该出现留言的地方，就出现了一个蓝色的“点我试试”。

  

  如果这个页面存在XSS漏洞（在我们这个示例中是存在的），那么当你点击按钮后，页面会弹出一个提示框，显示“123”。这个弹窗这就是基础的XSS攻击。

  

  千万不要小瞧这个弹窗和按钮！

  这个按钮和弹窗像一个“炸弹”，一些不怀好意的黑客能够根据目的调整“炸弹的威力”。例如，他们完全有可能通过类似的手段，在你点击按钮的瞬间，窃取网站后台的敏感隐私信息，或者劫持你的账号。

  这里附上阿鹏老师的温馨提示：不要随意点击不信任的链接或访问不安全的网站。

  今天为大家展示的只是黑客世界的一角，关于黑客，你还有哪些好奇与疑问？又或者你知道哪些关于黑客的故事？欢迎在评论区分享交流。

  ✦

黑客&网络安全如何学习*

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，之前都是内部资源，专业方面绝对可以秒杀国内99%的机构和个人教学！全网独一份，你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，200多G的资源，不用担心学不全。

因篇幅有限，仅展示部分资料，需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源
————————————————

本文转自 https://blog.youkuaiyun.com/bdfcfff77fa/article/details/149062892?spm=1001.2014.3001.5502，如有侵权，请联系删除。