黑客的技术都是自学的吗?
▍黑客的技术都是自学的吗?
首先,自学成才的都是大佬,也不是所有人都能自学成才的。你得根据你自己的情况,如果你是对网安很感兴趣,然后是那种想干,就会立马执行的那种人,是会坚持下去的。这种人自学就很容易自学成功。要是是那种装环境装几天,就放弃了,后面学起来觉得难就放弃了,学着学着放弃了,这种你学几年还是初学者。
网安的话,现在比较注重技术的 ,然后web安全和渗透测试目前是主流。
完整的web安全工程师学习路线
01、HTTP基础
只有搞明白Web是什么,我们才能对Web安全进行深入研究,所以你必须了解HTTP,了解了HTTP,你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。关于HTTP,你必须要弄明白以下知识:
HTTP/HTTPS特点、工作流程
HTTP协议(请求篇、响应篇)
了解HTML、Javascript
Get/Post区别
Cookie/Session是什么?
02、了解如下专业术语的意思
Webshell、菜刀、0day、SQL注入、上传漏洞、XSS、CSRF、一句话木马、....
03、专业黑客工具使用
熟悉如何渗透测试安全工具,掌握这些工具能大大提高你在工作的中的效率。
Vmware安装
Windows/kali虚拟机安装
Phpstudy、LAMP环境搭建漏洞靶场
Java、Python环境安装
子域名工具 Sublist3r、Sqlmap、Burpsuite、Nmap、W3af、Nessus、Appscan、AWVS
04、XSS
要研究 XSS 首先了解同源策略 ,Javascript 也要好好学习一下 ,以及HTML实体 HTML实体的10 或16进制还有Javascript 的8进制和16进制编码,最终掌握以下几种类型的XSS:
反射型 XSS:可用于钓鱼、引流、配合其他漏洞,如 CSRF 等。
存储型 XSS:攻击范围广,流量传播大,可配合其他漏洞。
DOM 型 XSS:配合,长度大小不受限制 。
05、SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识:
SQL 注入漏洞原理
SQL 注入漏洞对于数据安全的影响
SQL 注入漏洞的方法
常见数据库的 SQL 查询语法
MSSQLundefinedMYSQLundefinedORACLE 数据库的注入方法
SQL 注入漏洞的类型:数字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、宽字节注入
SQL 注入漏洞修复和防范方法
一些 SQL 注入漏洞检测工具的使用方法
06、文件上传漏洞
了解下开源编辑器上传都有哪些漏洞,如何绕过系统检测上传一句话木马、WAF如何查杀Webshell,你必须要掌握的一些技能点:
1.客户端检测绕过(JS 检测)
2.服务器检测绕过(目录路径检测)
3.黑名单检测
4.危险解析绕过攻击
5..htaccess 文件
6.解析调用/漏洞绕过
7.白名单检测
8.解析调用/漏洞绕过
9.服务端检测绕过-文件内容检测
10.Apache 解析漏洞
11.IIS 解析漏洞
12.Nginx 解析漏洞
07、文件包含漏洞
去学习下 include() include_once() require() require_once() fopen() readfile() 这些php函数是如何产生文件包含漏洞undefined 本地包含与远程包含的区别,以及利用文件包含时的一些技巧如:截断 /伪url/超长字符截断等 。
08、命令执行漏洞
PHP代码中常见的代码执行函数有:
eval()undefined assert()undefined preg_replace()undefined call_user_func()undefined call_user_func_array()undefinedcreate_function()undefined array_map()等。
了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。
09、CSRF 跨站点请求
为什么会造成CSRF,GET型与POST型CSRF 的区别undefined 如何防御使用 Token防止CSRF?
10、逻辑漏洞
了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞:
信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.
11、XEE(XML外部实体注入)
当允许XML引入外部实体时,通过构造恶意内容,可以导致文件读取、命令执行、内网探测等危害。
12、 SSRF
了解SSRF的原理undefined以及SSRF的危害。
SSRF能做什么?当我们在进行Web渗透的时候是无法访问目标的内部网络的,那么这个时候就用到了SSRF漏洞,利用外网存在SSRF的Web站点可以获取如下信息。
1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;
2.攻击运行在内网或本地的应用程序(比如溢出);
3.对内网Web应用进行指纹识别,通过访问默认文件实现;
4.攻击内外网的Web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);
5.利用file协议读取本地文件等。
如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了。
因此,为了让你快速入门Web安全,老师将在课程中分享我们针对上百家企业的Web安全工程师岗位做了深度调研,总结出的Web安全学习路径,帮大家建立Web安全整体知识体系。
渗透测试可以按照下面这个学习路径来学习。
好了,有问题可以问我,溜了溜了。
▍黑客的技术都是自学的吗?
说到黑客,必须要拿出我一初中同学来说,初中那会班里有一个特奇葩的同学,关键是这货奇葩的地方和一般人还不一样,他长相一般但迷之自信,天天穿着洞洞鞋叼着棒棒糖,从外表看绝对是屌丝本尊无疑了,每天都捧着一本很大很厚的书,我曾经翻开看过,上面全都是密密麻麻的数字和字母。
让我对他从鄙视转变到崇拜是在初二即将升初三的时候,初二的一个炎热的夏天,和大多数学校一样,即使再热也阻挡不了学校让我们跑操做操的决心,我们在老师的催促下打闹着往楼下跑,他因为作业没写,被老师留在办公室等着我们做完操回来批评,我们排好队之后,我抬头看着天,白花花的很刺眼,突然看见站在窗口的他,露出极其开心的笑容,enmmm…说实话,当时突然更鄙视他了。
从那天之后接下来发生的一系列事情,直到现在想起来,我都觉得那特么简直就是一场梦,学校做操的铃声都是自动播放,按照时间,应该在10点整响起来,但是十点五分了还是没有任何动静,教导主任气鼓鼓的瞪了广播处好几眼,然后自己走进广播室,刚走进去广播就响了。
"第三套全国小学生广播体操,七彩阳光现在开始…" 小学生???!所有人都愣了一下,还没反应过来,广播里突然响起了鸡叫,一声接一声经久不息,随后传来了教导主任愤怒的骂声,我们一脸懵逼的呆了很久,憋笑憋到脸抽筋。
最后经过学校领导多次调整,终于在离上课还有三分钟的时候调好了,回班之后,他一脸自豪的从讲台上走过,冲我们甩了甩手上的诺基亚,当时没有人想到是他做的,反而因为他带手机又被班长告到老师那里去,真正让我们对他改变态度是期末考试,期末考试前一天晚上,他突然在群里发了几个文档,点开一看全都是期末试卷,网络的传播速度贼快,第二天几乎全年级人人手里都有一份试卷,期末考试当然是作废了,我们年级作为唯一一个开学来了再考试的年级提前放假回家了。
本来以为开学再也见不到他,没有处分是不可能的,而我们学校管的又很严,这种事肯定不会轻易放过,但是开学第一天依然看见他穿着洞洞鞋来了,毕业后才听说是学校和他达成了协议,可以不开除,但是要帮学校处理系统漏洞,初三时那个脾气暴躁的教导主任突然被炒鱿鱼了,有传闻说是他发现教导主任浑水摸鱼私挪学校公费,然后举报了,严查之下才发现教导主任已经悄无声息的做了一年多了,现在已经过去了这么多年,不知道他是不是早已成为一个真正的黑客,但当时他的技术,即使放在现在也比的过很多自称是电脑高手的人。
黑客的技术百分之九十只能靠自学,计算机专业的学校也只会教基础的知识,当然,还需要一个聪明的脑袋和坚持不懈的心,那个同学虽然从来不写作业,但是成绩一直非常好,不管什么时候什么科目被叫上黑板解题都可以迎刃而解。
▍黑客的技术都是自学的吗?
是的,50%以上的黑客是自学成才的
HackerOne有一个统计(美国著名的漏洞众测公司,它汇集众多的黑客(白帽子),一起为企业找漏洞,以获取漏洞赏金为生),超过50%的黑客是因为兴趣自学的。
25%的黑客是大学生,大多数人是年轻人,他们有时间,有兴趣,有激情
自2014年以来,信息安全已经成为各大高校热门专业, 就业岗位也飞速增长.
目前信息安全是在伴随互联网发展最快的行业,各大企业(腾讯、阿里、字节流动、百度等)都有自己的安全团队。
黑客(骇客)也是有分类的,并非所有的黑客都是一样的,根据黑客的攻击渗透目的,一般分为:
黑帽黑客:为了个人利益,不遵守任何法律,他们的渗透目的非常明确,就是为了利益,一般会涉及数据盗窃,非法交易,恶意软件注入等
白帽黑客:正义守护者,获得授权后(或在不破坏系统数据的前提下)尝试找出系统中的漏洞,并将漏洞告诉厂商,帮助厂商提高系统的安全性。
灰帽子黑客: 介于黑帽和白帽之间,不喜欢受约束,独来独往,他们可能会悄悄地入侵系统,获得成就感,也有可能会把入侵过程通知厂商,帮助厂商修复漏洞。
脚本小子: 那些利用已有工具进行系统扫描的黑客,通过工具识别漏洞
▍黑客的技术都是自学的吗?
黑客的技术是自学的吗?
黑客通常是自学的,他们通过自行学习、查阅网络上的资源、参加实践研讨会、读书来学习网络安全技能和技术知识,以及不断挑战和实践自己的知识,来不断提升自己的技能。
黑客技术是指在网络或计算机系统中不断探索发现秘密信息的一种技能。从最初出现的计算机安全以来,技术水平的提高和技术的发展,使得黑客技术得到了真正的发展。
目前,黑客技术得到了越来越广泛的应用,在网络安全领域,黑客技术也受到了极大的重视。 黑客技术是一种复杂的技术,需要对网络安全领域有深入的了解。
黑客技术的核心是技术层面的把控,从底层的操作系统的漏洞,到上层的程序代码,网络安全领域的具体问题都需要把控。此外,黑客技术还需要掌握一些具体的信息安全工具,如nmap、metasploit、wireshark等,这些工具有助于更好地把控安全系统,检测出漏洞,从而增加安全系统的强度。
要成为一名黑客,不仅要学习和掌握技术知识,还要具备一些特定的技能,如分析能力、把握大局的能力、灵活思考的能力等。此外,黑客还应能够独立思考,并勇于挑战困难的问题,解决安全问题时必须具备强烈的责任感和使命感,不断努力提高自身的技术水平,以应对日益变化的安全威胁。
综上所述,黑客技术是一项复杂的技术,不仅要学习和掌握技术知识,还要具备一定的实践能力,黑客必须拥有独特的灵活性、强烈的责任感和良好的分析能力,才能更好地把控网络安全。
▍黑客的技术都是自学的吗?
大部分厉害的黑客都是自学,因为黑客技术需要很强的创造力和研究精神,这些需要兴趣作为驱动力。而且黑客本身就业空间有限,正规教育没法起规模,也不被允许。
------------------
推荐阅读:
