网络安全（黑客技术）—2024自学手册

前言        

什么是网络安全

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。

如何成为一名黑客

很多朋友在学习安全方面都会半路转行，因为不知如何去学，在这里，我将这个整份答案分为 黑客（网络安全）入门必备、黑客（网络安全）职业指南、黑客（网络安全）学习导航 三大章节，涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。（文末有福利~）

1. 黑客（网络安全）入门必备

关于「黑客」，每个人都有自己的定义和理解。我认为，一名合格的黑客，抛开技术层面，首先应该具备以下这些能力或品质：

正直善良的价值观：遵法守纪、严守底线、拒绝黑灰产

科学合理的方法论：终身成长、知识管理、第一性原理

持续有效的执行力：自我驱动、实践为先、结果导向

以上排序，权重应该是从上到下的。毕竟，一个人的价值观会影响他（她）选择的方法论，而一个人的方法论则会决定他（她）做事的结果。

1.1 首先，黑客需要有「正直善良的价值观」。

学习并掌握了所谓的「黑客技术」之后，即便从事的不是保家卫国护网之类的网络安全职位，你仍有较大几率听闻或接触到这些关键词：拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛……

相信我，在互联网上，拒绝黑灰产要跟拒绝黄赌毒一样坚决，一旦你碰了，是很难回头的。人性在巨大的金额回报诱惑下，是很容易摇摆的。到底向左还是向右走，真的取决于你的价值观取向。

因此，秉持正直善良的价值观、遵法守纪、严守底线，是你进入黑客之旅务必要携带的护符，它能为你驱除杂念、为你的职业生涯保卫护航。

1.2 其次，黑客需要有「科学合理的方法论」。

黑客或网络安全学科，起源计算机科学，但又不止于计算机，还涉及社会工程学、心理学、信息战等多个领域，学习曲线属于典型的「入门易精深难」。

进入这个圈子之前，相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法，但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时，你真的能坚持下来吗？

大部分人走着走着就迷路了，本质是缺少方法论的支撑，各行各业的方法论很多，这里仅分享对我个人影响最为深刻的 3 个：

终身成长，即采用持续成长的心态，将学习与成长周期无限拉长到一生。

       很多人喜欢将 “过了 xx 岁就学不动了” 之类的挂在嘴别，在我看来要么是误区要么是借口，这样观念无非是用来掩饰自己懒惰不愿成长不想改变的心态。如果你接受这些传统观念，那只能说明你不适合做一名黑客。相反地，采用终身成长这套方法论，将「做一名黑客」的时间跨度无限拉长到一生，把它当成一生的事业而不是一个短暂的职位，那么，我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较，给自己多点时间和耐心，3 个月不行就 6 个月， 6 个月不行就 1 年，1 年不行就 2 年…… 这个方法论的实践，可以让我们在成长路上戒骄戒躁并持续精进，不妄求短时间内“大跃进”，也抛弃了“一口吃撑”的激进做法。

知识管理，即 PKM（Personal Knowledge Management ），是研究如何科学高效管理知识的一套方法论。

       考虑到黑客或网络安全领域的跨学科特性，需要掌握的知识量非常繁杂，超过了大部分人的承载能力。因此，如果你要做黑客，那么我推荐你采用 PKM 来构建自己的知识管理系统，持续优化输入输出路径，打造最优学习闭环。采用这个方法论，最终可以让我们得到这个结果：学习能力比别人强一点、成长速度比别人快一点。

第一性原理，即 First Principle Thinking，简单来说就是透过事物现象看本质。

      很多人在刚学习黑客或网络安全技术时，经常会有这些问题：我在学校学的编程语言是 C/C++，Java / Python 这些能学会吗？我是做软件开发的，能从事网络安全方向吗？我是搞 Web 安全的，能转移动安全吗？…… 有这些问题的人，大体缺乏这套方法论的使用经验。例如，学编程，以第一性原理的视角来看，核心不是学语法，而更应重视算法、数据结构、代码逻辑这些，搞定这些底层，其实根本不存在语言切换的问题。同理，做软件开发就是用代码研制出产品（网站/业务系统/APP等），而做网络安全就是给产品找bug，两者相辅相成，即「不懂软件开发的程序员不是一个合格的黑客」。以上仅是这套方法论的粗浅举例，在此先不展开。我更想说的是，作为一名黑客，采用这套方法论，可以让我们：习惯用why而不是what、思考更深入一点、知识更通透一点。价值观再正，方法论再好，若没有执行力，那便是纸上谈兵。例如，看书学习处于“三天打鱼两天晒网”的状态，这就是典型的执行力出了问题。

1.3 因此，「持续有效的执行力」也是黑客必备的能力。

那么，如何做到持续有效执行（学习/工作/成长）？我认为有 3 个点：

自我驱动：对各类技术知识足够狂热、有强烈的兴趣和好奇心、遇到问题刨根问底、有较强的自律能力…… 只有保持这样的自我驱动，才能真正做到持续稳定。

实践为先：学到的知识是否真的有用，先动手再说，所谓“实践出真知”。

结果导向：同样是干活，也有“干了”和“干好”的差别。因此，无论看书做实验搞项目，一定要结果导向，用数据和效果说话。

简单来说，保持自我驱动的状态，多动手实践，以结果为依据，以此获得持续有效的执行力，这是学习或从事黑客（网络安全）工作的基石。

2. 黑客（网络安全）职业指南

在 2017 年 6 月 1 号之前，即网络安全法出台之前，黑客在公众眼里甚至是个贬义