如何成为一名白帽子?
To follow the path;沿着这样一条道路;
look to the master,关注大师,
follow the master,跟随大师,
walk with the master,与大师同行,
see through the master,洞察大师,
become the master.成为大师。
在哈利波特中:有黑巫师和白巫师,中间还夹杂着不懂魔法的麻瓜。
在网络世界中:有黑帽黑客和白帽黑客,中间夹杂着不懂网络的普通民众。
那么我们现在所做的就是从一个普通民众成为一个白帽子黑客。
“任何职业都可以成为黑客。你可以是一个木匠黑客。不一定是高科技。只要与技能有关,并且倾心专注你正在做的事情,你就可能成为黑客。"——引自《黑客伦理与信息时代精神》
“在黑客的世界中,往往用帽子的颜色来比喻黑客的好坏。白帽子,则是只那些精通安全技术,但是工作在反黑客领域的专家们;而黑帽子,则是指利用黑客技术造成破坏,甚至进行网络犯罪的群体。”——引自《白帽子讲web安全》
在安全方向上面还可以细分很多:
系统安全、客户端安全、移动安全、web安全、业务安全、工控安全、网络安全、云安全、无线安全等等。
天才的10000小时定律:在任何领域,只要你潜心钻研一定可以成为这个领域的专家。
the most motivetional poster ever.
1.01^365=37.5
0.99^365=0.03
为什么要选择web安全?
1、因为0基础
2、入门快——几个月的时间就可以看到成果
3、范围广——全球网站的数量已经超过10亿了
4、资料多——任何地方都可以搜到、买到相关的资料
5、就业前景好(对于在校生来说)
6、可以赚的零花钱
7、名声响(玩这个还是低调一点的好)
四个字概括——名利双收
自学——传统进阶型 和 兴趣导向型
传统进阶型的教育方式是磨刀不误砍柴工:
web开发路径 web开发→web安全 浏览器 IE、Firefox、Chrome 溢出、扩展漏洞、UXSS web前端 HTML、JS、CSS XSS、点击劫持、CSRF web后端 PHP、JSP、.NET 越权、认证、文件操作 web容器 Apache、IIS、Nginx 畸形解析、命令执行 数据库 MySQL、MSSQL、Oracle SQL注入、命令执行 操作系统 Linux、Windows 命令执行、端口扫描 优点:基础扎实、适应性强. 缺点:门槛高、时间长.
兴趣导向型是从实际问题出发:
扫描工具 acunetix web vulnerability scanner(AWVS)、AppScan
工具操作熟练了,可以使用特定扫描工具特定扫描工具 sqlmap(用于sql注入)、NMAP(用于端口扫描) web安全书籍 《白帽子讲web安全》《黑客攻防技术宝典 web实战篇》《web前端黑客技术揭秘》 研究web漏洞 SQL注入、文件上传、CRLF、XSS、CSRF、XXE、命令执行、SSRF···· 抓包工具(手工抓包) burpsuite、telerikfiddler 业内web安全动向 OpenSSL heartbleed、Struts2 学习语言 html 、 JavaScript、 sql、Python 优点:门槛低、可速成 缺点:基础薄弱、适应性差 学习→交流→实践→思考→分享
web安全是一门真枪实干的学科。 web安全大牛:黑哥说过一句话:整就牛
白帽子黑客成长篇:
在安全圈:近朱者赤、近墨者黑——这不是一个人的江湖
学习安全漏洞:google、百度等途径
研究漏洞代码:GitHub、exploitdatabase
社区论坛只是库:WooYun.org(国内站点已经被封,国外镜像站还是有的)、freebuf
各种安全的小圈子:qq、微信等
我影响环境:
漏洞提交平台:各大网站的SRC
分享技术心得:blog、微博、微信等
参加安全沙龙会议:Xdef、xcon等
提供安全武器:脚本、插件、系统
创造web漏洞
创造利用思路
创造自身价值
创造黑客文化
To follow the path;沿着这样一条道路;
look to the master,关注大师,
follow the master,跟随大师,
walk with the master,与大师同行,
see through the master,洞察大师,
become the master.成为大师。
野兔
2019.2.10