如何成为一名白帽子？

To follow the path;沿着这样一条道路；
look to the master,关注大师，
follow the master,跟随大师，
walk with the master,与大师同行，
see through the master,洞察大师，
become the master.成为大师。

在哈利波特中：有黑巫师和白巫师，中间还夹杂着不懂魔法的麻瓜。
在网络世界中：有黑帽黑客和白帽黑客，中间夹杂着不懂网络的普通民众。

那么我们现在所做的就是从一个普通民众成为一个白帽子黑客。

“任何职业都可以成为黑客。你可以是一个木匠黑客。不一定是高科技。只要与技能有关，并且倾心专注你正在做的事情，你就可能成为黑客。"——引自《黑客伦理与信息时代精神》

“在黑客的世界中，往往用帽子的颜色来比喻黑客的好坏。白帽子，则是只那些精通安全技术，但是工作在反黑客领域的专家们；而黑帽子，则是指利用黑客技术造成破坏，甚至进行网络犯罪的群体。”——引自《白帽子讲web安全》

在安全方向上面还可以细分很多：
系统安全、客户端安全、移动安全、web安全、业务安全、工控安全、网络安全、云安全、无线安全等等。

天才的10000小时定律：在任何领域，只要你潜心钻研一定可以成为这个领域的专家。

the most motivetional poster ever.
1.01^365=37.5
0.99^365=0.03

为什么要选择web安全？

1、因为0基础
2、入门快——几个月的时间就可以看到成果
3、范围广——全球网站的数量已经超过10亿了
4、资料多——任何地方都可以搜到、买到相关的资料
5、就业前景好（对于在校生来说）
6、可以赚的零花钱
7、名声响（玩这个还是低调一点的好）
四个字概括——名利双收

自学——传统进阶型 和 兴趣导向型

传统进阶型的教育方式是磨刀不误砍柴工：

	web开发路径	web开发→web安全
浏览器	IE、Firefox、Chrome	溢出、扩展漏洞、UXSS
web前端	HTML、JS、CSS	XSS、点击劫持、CSRF
web后端	PHP、JSP、.NET	越权、认证、文件操作
web容器	Apache、IIS、Nginx	畸形解析、命令执行
数据库	MySQL、MSSQL、Oracle	SQL注入、命令执行
操作系统	Linux、Windows	命令执行、端口扫描

优点：基础扎实、适应性强.        缺点：门槛高、时间长.

兴趣导向型是从实际问题出发：

扫描工具	acunetix web vulnerability scanner（AWVS）、AppScan 工具操作熟练了，可以使用特定扫描工具
特定扫描工具	sqlmap（用于sql注入）、NMAP（用于端口扫描）
web安全书籍	《白帽子讲web安全》《黑客攻防技术宝典 web实战篇》《web前端黑客技术揭秘》
研究web漏洞	SQL注入、文件上传、CRLF、XSS、CSRF、XXE、命令执行、SSRF····
抓包工具（手工抓包）	burpsuite、telerikfiddler
业内web安全动向	OpenSSL heartbleed、Struts2
学习语言	html 、 JavaScript、 sql、Python

优点：门槛低、可速成        缺点：基础薄弱、适应性差            学习→交流→实践→思考→分享

web安全是一门真枪实干的学科。                        web安全大牛：黑哥说过一句话：整就牛

白帽子黑客成长篇：

在安全圈：近朱者赤、近墨者黑——这不是一个人的江湖

学习安全漏洞：google、百度等途径

研究漏洞代码：GitHub、exploitdatabase

社区论坛只是库：WooYun.org（国内站点已经被封，国外镜像站还是有的）、freebuf

各种安全的小圈子：qq、微信等

我影响环境：

漏洞提交平台：各大网站的SRC

分享技术心得：blog、微博、微信等

参加安全沙龙会议：Xdef、xcon等

提供安全武器：脚本、插件、系统

创造web漏洞

创造利用思路

创造自身价值

创造黑客文化

To follow the path;沿着这样一条道路；
look to the master,关注大师，
follow the master,跟随大师，
walk with the master,与大师同行，
see through the master,洞察大师，
become the master.成为大师。

野兔

2019.2.10