2025年——【寒假】自学黑客计划(网络安全)
CSDN大礼包:基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包
前言
什么是网络安全
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
如何成为一名黑客
很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为 黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航 三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。(文末有福利~)
1. 黑客(网络安全)入门必备
关于「黑客」,每个人都有自己的定义和理解。我认为,一名合格的黑客,抛开技术层面,首先应该具备以下这些能力或品质:
正直善良的价值观:遵法守纪、严守底线、拒绝黑灰产
科学合理的方法论:终身成长、知识管理、第一性原理
持续有效的执行力:自我驱动、实践为先、结果导向
以上排序,权重应该是从上到下的。毕竟,一个人的价值观会影响他(她)选择的方法论,而一个人的方法论则会决定他(她)做事的结果。
1.1 首先,黑客需要有「正直善良的价值观」。
学习并掌握了所谓的「黑客技术」之后,即便从事的不是保家卫国护网之类的网络安全职位,你仍有较大几率听闻或接触到这些关键词:拿站、脱裤、挂马、菠菜、资金盘、黑帽 SEO、杀猪盘、薅羊毛……
相信我,在互联网上,拒绝黑灰产要跟拒绝黄赌毒一样坚决,一旦你碰了,是很难回头的。人性在巨大的金额回报诱惑下,是很容易摇摆的。到底向左还是向右走,真的取决于你的价值观取向。
因此,秉持正直善良的价值观、遵法守纪、严守底线,是你进入黑客之旅务必要携带的护符,它能为你驱除杂念、为你的职业生涯保卫护航。
1.2 其次,黑客需要有「科学合理的方法论」。
黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易精深难」。
进入这个圈子之前,相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法,但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时,你真的能坚持下来吗?
大部分人走着走着就迷路了,本质是缺少方法论的支撑,各行各业的方法论很多,这里仅分享对我个人影响最为深刻的 3 个:
终身成长,即采用持续成长的心态,将学习与成长周期无限拉长到一生。
很多人喜欢将 “过了 xx 岁就学不动了” 之类的挂在嘴别,在我看来要么是误区要么是借口,这样观念无非是用来掩饰自己懒惰不愿成长不想改变的心态。
如果你接受这些传统观念,那只能说明你不适合做一名黑客。
相反地,采用终身成长这套方法论,将「做一名黑客」的时间跨度无限拉长到一生,把它当成一生的事业而不是一个短暂的职位,那么,我们的学习耐心、学习深度、学习广度也将会无限放大。
不要跟任何人比较,给自己多点时间和耐心,3 个月不行就 6 个月, 6 个月不行就 1 年,1 年不行就 2 年…… 这个方法论的实践,可以让我们在成长路上戒骄戒躁并持续精进,不妄求短时间内“大跃进”,也抛弃了“一口吃撑”的激进做法。
知识管理,即 PKM(Personal Knowledge Management ),是研究如何科学高效管理知识的一套方法论。
考虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,超过了大部分人的承载能力。
因此,如果你要做黑客,那么我推荐你采用 PKM 来构建自己的知识管理系统,持续优化输入输出路径,打造最优学习闭环。
采用这个方法论,最终可以让我们得到这个结果:学习能力比别人强一点、成长速度比别人快一点。
第一性原理,即 First Principle Thinking,简单来说就是透过事物现象看本质。
很多人在刚学习黑客或网络安全技术时,经常会有这些问题:
我在学校学的编程语言是 C/C++,Java / Python 这些能学会吗?
我是做软件开发的,能从事网络安全方向吗?
我是搞 Web 安全的,能转移动安全吗?……
有这些问题的人,大体缺乏这套方法论的使用经验。
例如,学编程,以第一性原理的视角来看,核心不是学语法,而更应重视算法、数据结构、代码逻辑这些,搞定这些底层,其实根本不存在语言切换的问题。
同理,做软件开发就是用代码研制出产品(网站/业务系统/APP等),而做网络安全就是给产品找bug,两者相辅相成,即「不懂软件开发的程序员不是一个合格的黑客」。
以上仅是这套方法论的粗浅举例,在此先不展开。我更想说的是,作为一名黑客,采用这套方法论,可以让我们:习惯用why而不是what、思考更深入一点、知识更通透一点。价值观再正,方法论再好,若没有执行力,那便是纸上谈兵。
例如,看书学习处于“三天打鱼两天晒网”的状态,这就是典型的执行力出了问题。
1.3 因此,「持续有效的执行力」也是黑客必备的能力。
那么,如何做到持续有效执行(学习/工作/成长)?我认为有 3 个点:
自我驱动:对各类技术知识足够狂热、有强烈的兴趣和好奇心、遇到问题刨根问底、有较强的自律能力…… 只有保持这样的自我驱动,才能真正做到持续稳定。
实践为先:学到的知识是否真的有用,先动手再说,所谓“实践出真知”。
结果导向:同样是干活,也有“干了”和“干好”的差别。因此,无论看书做实验搞项目,一定要结果导向,用数据和效果说话。
简单来说,保持自我驱动的状态,多动手实践,以结果为依据,以此获得持续有效的执行力,这是学习或从事黑客(网络安全)工作的基石。
2. 黑客(网络安全)职业指南
在 2017 年 6 月 1 号之前,即网络安全法出台之前,黑客在公众眼里甚至是个贬义词,在企业里面,安全工程师甚至是可有可无的“消耗型”岗位。
而随着《国家网络空间安全战略》《网络安全法》《等保2.0》等一系列政策/法规/标准的持续落地,网络安全产业从小众产业逐步发展成为国家战略性新兴产业,与人工智能、大数据、云计算等领域并驾齐驱。
政企单位的网络安全建设也从以往的“可选项”逐步变为“必选项”甚至是“强制项”,很多企业在进行 IT 部门及岗位划分时,以往往往只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多企业成立独立的安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。
越来越多高校也陆续开设了网络空间安全 / 信息安全学科,为互联网、金融、电商、运营商、政企等各行各业输送人才。
短短几年间,黑客不仅成为了正规军,还直接跃升为国家战略型资源,成为企业“一将难求”的稀缺资源。
因此,要想体系化的了解黑客的职业发展道路,那我们就必须了解网络安全行业的方方面面,包括:
网络安全行业分类、技能需求
网络安全职位分类、招聘需求
网络安全招聘企业、薪酬标准
2.1 网络安全行业分类、技能需求
根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全 等不同领域。下面以个人所在行业和关注点,重点探讨 网络 / Web / 云这几个安全方向。
① 网络安全
[网络安全] 是安全行业最经典最基本的领域,也是目前国内安全公司发家致富的领域,例如启明星辰、绿盟科技、天融信这几个企业(“老三大” )。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、VPN网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术,我们可以设计并提供一个安全可靠的网络架构,为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。
大的安全项目(肥肉…)主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商(移动/电信/联通)需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络,承载着国民最核心的基础设施和敏感数据,一旦泄露或者遭到非法入侵,影响范围就不仅仅是一个企业/公司/组织的事情,例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。
当然,除了以上这些&#x