📜  我应该如何开始自己学习道德黑客?

📅  最后修改于: 2021-10-21 05:27:34             🧑  作者: Mango

道德黑客是指对计算机系统进行攻击性测试,以找出与安全相关的漏洞。这些漏洞称为安全漏洞。对于各种背景的学生来说,它一直是一个非常受欢迎的职业选择(非 CS 学生也可以轻松学习,并且与 CS 学生一样好,甚至比他们更好)。

我应该如何开始学习道德黑客攻击我自己

由于道德黑客是关于破坏系统,因此它假定熟悉这些系统的实际工作方式。在您的黑客攻击过程中(道德上),您会遇到网络、网络设备、网络协议、网站、网络技术、内容交付机制以及更多在线基础设施组件。熟悉这些组件的作用以及它们如何协同工作至关重要。了解 Web 标记语言 (HTML) 脚本语言 (JavaScript) 数据传输语言(XML 或 JSON)、基于 Web 的系统组件、计算机网络和 TCP/IP 套件知识、基本编程知识C/C++/ Java/ Python足以让您入门。

通过遵循这个两步过程,您可以有效地学习道德黑客攻击。第一步是学习概念并很好地理解它们。在互联网上,可供学习的资源非常丰富。我们推荐:

推荐书籍

1. Hacking for Dummies: Wiley 的“for dummies”系列专注于出版各种主题的适合初学者的书籍。本书通过概念和工具向用户介绍道德黑客。对于想要开始学习道德黑客但对编程不太熟悉的人来说,它非常有用。然而,应该理解的是,如果不学习编程,几乎不可能成为一名精英黑客。

2. SYBEX的CEHv10学习指南:本书旨在帮助准备CEH(Certified Ethical Hacker),这是一门流行的道德黑客认证课程。它解释了道德黑客方法及其各个阶段。道德黑客的每个阶段都通过工具的概念和实践的细节得到了很好的解释。

3. Hacking, The Art of Exploitation:这本书在白帽黑客社区很受欢迎很长时间了。可能是因为它涵盖的内容和深度。这本书的好处是,即使你是一个完全没有编程和网络知识的新手,你仍然可以从中受益匪浅。这本书涵盖了 C 语言的基本编程、Bash 脚本编写、计算机内存管理的基础知识、文件系统、基于溢出的漏洞及其利用、基本网络、网络攻击、编写 shell 代码和密码学。

热门在线课程

1. Udemy:这些网络安全道德黑客课程已经有很多人参加过,他们的评价相当不错,所以我们假设这些课程对你的自学很有用。

  • 从头开始学习道德黑客
  • 完整的道德黑客课程:初级到高级!
  • 黑客实践:认证道德黑客超级课程
  • 使用硬件小工具进行道德黑客攻击
  • CompTIA Pentest+(道德黑客)课程和实践考试

2. PentesterLab: PentesterLab 对初学者和高级学习者同样有用。他们对初学者友好的教程和实验室来自非常成功的道德黑客和漏洞赏金猎人,他们也是众所周知的讲师和导师。

3. Pentester Academy: Pentester Academy 是初学者和经验丰富的黑客学习的平台。他们有针对主要漏洞的课程和在线实验室。 Pentester Lab 还开设了编程、取证、VoIP、DevOps 安全、红/蓝团队等课程。

YouTube 频道

1. JackkTutorials:提供几乎所有与道德黑客相关的重要概念、工具和技能的动手入门教程。

2. Thenewboston:该频道不仅涵盖实用道德黑客的基础知识,还提供编程、应用程序开发、平面设计、化学、数据库、视频编辑等方面的教程。

3. HackerSploit: Hackersploit 在漏洞赏金初学者中非常受欢迎。它有渗透测试教程、CTF 演练、Bug 赏金狩猎技巧、编程教程、恶意软件分析教程、隐写术教程等。

LiveOverflow、Nahamsec、Bugcrowd 和 HackerOne 也很不错,值得一试。

网站和博客

这些网站对于了解最新研究结果、获取快速参考资料、理解高级概念等非常有用。

1. PortSwigger 的博客: Dafydd Stuttart 在黑客社区被称为portswigger。他是 BurpSuite 工具的共同创建者。他的博客包含有关最新 Web 应用程序漏洞的新闻、BurpSuite 的新功能、如何很好地使用 BurpSuite 的技巧以及他自己作为漏洞赏金猎人的发现。

2. TheHackerNews:提供最新网络安全相关新闻的专用平台。 Hacker News 提供有关最新漏洞、网络安全领域的新发展、与网络犯罪、数据泄露、黑客行动主义等相关的新闻的详细信息。

3. HackerOne Hactivity(公开漏洞报告): HackerOne 是一个漏洞赏金平台。漏洞赏金计划可能允许在漏洞报告解决后公开披露漏洞报告。这些报告可用于了解如何查找目标上的漏洞、如何执行侦察、如何接近有趣的端点、如何利用漏洞以实现最大影响以及在特定类型的目标上通常会发现哪些类型的漏洞.

第二步是练习:练习非常重要,因为它可以帮助您吸收所学的概念。它还将帮助您对自己的技能建立信心。故意易受攻击的虚拟系统和 CTF 是最好的练习方式。 bWApp、DVWA(该死的易受攻击的 Web 应用程序)、Metasploitable 是一些最容易受到攻击的 VM。 OWASP 已经建立了一个易受攻击的虚拟机的索引,可以在这里访问

还可以看看实践道德黑客的前 5 个地方