如何成为一名黑客,很多朋友在学习安全方面都会半路转行,因为不知如何去学,今天在知乎看到个不错的,果断收藏学习下路线。此篇博课讲的非常细,有兴趣的同学可以参考。
关于黑客或网络安全如何入门和学习路径,我在去年的问答和专栏中也陆陆续续解读过,近期知乎时间线上又多了很多高度类似的问题邀请,本次我再次做了一次系统化的梳理,希望能更好地帮到新人。(后续这个答案我会持续更新)
在这里,我将这个整份答案分为?黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航?三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、招聘企业、法律法规*策、国家*府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF等20+细分专题。这里先给出导航目录,方便大家阅读。
黑客(网络安全)入门必备
价值观
方法论
执行力
黑客(网络安全)职业指南
行业分类
职位解读
招聘企业
黑客(网络安全)学习导航
法律法规*策
国家*府机构
安全企业站点
安全媒体
安全工具
安全标准
书籍教材
技术博文
视频教程
学习路线
面试题库
攻防靶场
安全响应中心
安全众测中心
CTF安全比赛
?
1.黑客(网络安全)入门必备关于「黑客」,每个人都有自己的定义和理解。我认为,一名合格的黑客,抛开技术层面,首先应该具备以下这些能力或品质:
正直善良的价值观:遵法守纪、严守底线、拒绝黑灰产
科学合理的方法论:终身成长、知识管理、 性原理
持续有效的执行力:自我驱动、实践为先、结果导向
?
以上排序,权重应该是从上到下的。毕竟,一个人的价值观会影响他(她)选择的方法论,而一个人的方法论则会决定他(她)做事的结果。
1.1首先,黑客需要有「正直善良的价值观」。?
学习并掌握了所谓的「黑客技术」之后,即便从事的不是保家卫国护网之类的网络安全职位,你仍有较大几率听闻或接触到这些关键词:拿站、脱裤、挂马、菠菜、资金盘、黑帽SEO、杀猪盘、薅羊毛……
?
相信我,在互联网上,拒绝黑灰产要跟拒绝***一样坚决,一旦你碰了,是很难回头的。人性在巨大的金额回报诱惑下,是很容易摇摆的。到底向左还是向右走,真的取决于你的价值观取向。
因此,秉持正直善良的价值观、遵法守纪、严守底线,是你进入黑客之旅务必要携带的护符,它能为你驱除杂念、为你的职业生涯保卫护航。
?
1.2其次,黑客需要有「科学合理的方法论」。黑客或网络安全学科,起源计算机科学,但又不止于计算机,还涉及社会工程学、心理学、信息战等多个领域,学习曲线属于典型的「入门易精深难」。
进入这个圈子之前,相信聪明的你已经积累了很多关于「如何学习」「如何坚持」等各种方法,但当面对的是海量涌来的知识、敲不完的代码、无法穷尽的漏洞时,你真的能坚持下来吗?
?
大部分人走着走着就迷路了,本质是缺少方法论的支撑,各行各业的方法论很多,这里仅分享对我个人影响最为深刻的3个:
终身成长,即采用持续成长的心态,将学习与成长周期无限拉长到一生。?很多人喜欢将“过了xx岁就学不动了”之类的挂在嘴别,在我看来要么是误区要么是借口,这样观念无非是用来掩饰自己懒惰不愿成长不想改变的心态。如果你接受这些传统观念,那只能说明你不适合做一名黑客。相反地,采用终身成长这套方法论,将「做一名黑客」的时间跨度无限拉长到一生,把它当成一生的事业而不是一个短暂的职位,那么,我们的学习耐心、学习深度、学习广度也将会无限放大。不要跟任何人比较,给自己多点时间和耐心,3个月不行就6个月,6个月不行就1年,1年不行就2年……?这个方法论的实践,可以让我们在成长路上戒骄戒躁并持续精进,不妄求短时间内“大跃进”,也抛弃了“一口吃撑”的激进做法。
?
知识管理,即PKM(PersonalKnowledgeManagement),是研究如何科学高效管理知识的一套方法论。考虑到黑客或网络安全领域的跨学科特性,需要掌握的知识量非常繁杂,超过了大部分人的承载能力。因此,如果你要做黑客,那么我推荐你采用PKM来构建自己的知识管理系统,持续优化输入输出路径,打造 学习闭环。采用这个方法论,最终可以让我们得到这个结果:学习能力比别人强一点、成长速度比别人快一点。?
性原理,即FirstPrincipleThinking,简单来说就是透过事物现象看本质。很多人在刚学习黑客或网络安全技术时,经常会有这些问题:我在学校学的编程语言是C/C++,Java/Python这些能学会吗?我是做软件开发的,能从事网络安全方向吗?我是搞Web安全的,能转移动安全吗?……有这些问题的人,大体缺乏这套方法论的使用经验。例如,学编程,以 性原理的视角来看,核心不是学语法,而更应重视算法、数据结构、代码逻辑这些,搞定这些底层,其实根本不存在语言切换的问题。同理,做软件开发就是用代码研制出产品(网站/业务系统/APP等),而做网络安全就是给产品找bug,两者相辅相成,即「不懂软件开发的程序员不是一个合格的黑客」。以上仅是这套方法论的粗浅举例,在此先不展开。我更想说的是,作为一名黑客,采用这套方法论,可以让我们:习惯用why而不是what、思考更深入一点、知识更通透一点。
?
价值观再正,方法论再好,若没有执行力,那便是纸上谈兵。例如,看书学习处于“三天打鱼两天晒网”的状态,这就是典型的执行力出了问题。
1.3因此,「持续有效的执行力」也是黑客必备的能力。那么,如何做到持续有效执行(学习/工作/成长)?我认为有3个点:
自我驱动。对各类技术知识足够狂热、有强烈的兴趣和好奇心、遇到问题刨根问底、有较强的自律能力……只有保持这样的自我驱动,才能真正做到持续稳定。
实践为先。学到的知识是否真的有用,先动手再说,所谓“实践出真知”。
结果导向。同样是干活,也有“干了”和“干好”的差别。因此,无论看书做实验搞项目,一定要结果导向,用数据和效果说话。
简单来说,保持自我驱动的状态,多动手实践,以结果为依据,以此获得持续有效的执行力,这是学习或从事黑客(网络安全)工作的基石。
2.黑客(网络安全)职业指南
在年6月1号之前,即网络安全法出台之前,黑客在公众眼里甚至是个贬义词,在企业里面,安全工程师甚至是可有可无的“消耗型”岗位。
而随着《国家网络空间安全战略》《网络安全法》《等保2.0》等一系列*策/法规/标准的持续落地,网络安全产业从小众产业逐步发展成为国家战略性新兴产业,与人工智能、大数据、云计算等领域并驾齐驱。
*企单位的网络安全建设也从以往的“可选项”逐步变为“必选项”甚至是“强制项”,很多企业在进行IT部门及岗位划分时,以往往往只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多企业成立独立的安全部门,拉拢各方安全人才、组建SRC(安全响应中心),为自己的产品、应用、数据保卫护航。
越来越多高校也陆续开设了网络空间安全/信息安全学科,为互联网、金融、电商、运营商、*企等各行各业输送人才。
短短几年间,黑客不仅成为了正规*,还直接跃升为国家战略型资源,成为企业“一将难求”的稀缺资源。
?
因此,要想体系化的了解黑客的职业发展道路,那我们就必须了解网络安全行业的方方面面,包括:
网络安全行业分类、技能需求
网络安全职位分类、招聘需求
网络安全招聘企业、薪酬标准
2.1网络安全行业分类、技能需求根据不同的安全规范、应用场景、技术实现等,安全可以有很多分类方法,在这里我们简单分为网络安全、Web安全、云安全、移动安全(手机)、桌面安全(电脑)、主机安全(服务器)、工控安全、无线安全、数据安全?等不同领域。下面以个人所在行业和