如何成为一名白帽子?
如何成为一名白帽子?
To follow the path;沿着这样一条道路;
look to the master,关注大师,
follow the master,跟随大师,
walk with the master,与大师同行,
see through the master,洞察大师,
become the master.成为大师。
在哈利波特中:有黑巫师和白巫师,中间还夹杂着不懂魔法的麻瓜。
在网络世界中:有黑帽黑客和白帽黑客,中间夹杂着不懂网络的普通民众。
那么我们现在所做的就是从一个普通民众成为一个白帽子黑客。
“任何职业都可以成为黑客。你可以是一个木匠黑客。不一定是高科技。只要与技能有关,并且倾心专注你正在做的事情,你就可能成为黑客。"——引自《黑客伦理与信息时代精神》
“在黑客的世界中,往往用帽子的颜色来比喻黑客的好坏。白帽子,则是只那些精通安全技术,但是工作在反黑客领域的专家们;而黑帽子,则是指利用黑客技术造成破坏,甚至进行网络犯罪的群体。”——引自《白帽子讲web安全》
在安全方向上面还可以细分很多:
系统安全、客户端安全、移动安全、web安全、业务安全、工控安全、网络安全、云安全、无线安全等等。
天才的10000小时定律:在任何领域,只要你潜心钻研一定可以成为这个领域的专家。
the most motivetional poster ever.
1.01^365=37.5
0.99^365=0.03
为什么要选择web安全?
1、因为0基础
2、入门快——几个月的时间就可以看到成果
3、范围广——全球网站的数量已经超过10亿了
4、资料多——任何地方都可以搜到、买到相关的资料
5、就业前景好(对于在校生来说)
6、可以赚的零花钱
7、名声响(玩这个还是低调一点的好)
四个字概括——名利双收
自学——传统进阶型 和 兴趣导向型
传统进阶型的教育方式是磨刀不误砍柴工:
web开发路径 web开发→web安全 浏览器 IE、Firefox、Chrome 溢出、扩展漏洞、UXSS web前端 HTML、JS、CSS XSS、点击劫持、CSRF web后端 PHP、JSP、.NET 越权、认证、文件操作 web容器 Apache、IIS、Nginx 畸形解析、命令执行 数据库 MySQL、MSSQL、Oracle SQL注入、命令执行 操作系统 Linux、Windows 命令执行、端口扫描 优点:基础扎实、适应性强. 缺点:门槛高、时间长.
兴趣导向型是从实际问题出发:
扫描工具 acunetix web vulnerability scanner(AWVS)、AppScan
工具操作熟练了,可以使用特定扫描工具特定扫描工具 sqlmap(用于sql注入)、NMAP(用于端口扫描) web安全书籍 《白帽子讲web安全》《黑客攻防技术宝典 web实战篇》《web前端黑客技术揭秘》 研究web漏洞 SQL注入、文件上传、CRLF、XSS、CSRF、XXE、命令执行、SSRF···· 抓包工具(手工抓包) burpsuite、telerikfiddler 业内web安全动向 OpenSSL heartbleed、Struts2 学习语言 html 、 JavaScript、 sql、Python 优点:门槛低、可速成 缺点:基础薄弱、适应性差 学习→交流→实践→思考→分享
web安全是一门真枪实干的学科。 web安全大牛:黑哥说过一句话:整就牛
白帽子黑客成长篇:
在安全圈:近朱者赤、近墨者黑——这不是一个人的江湖
学习安全漏洞:google、百度等途径
研究漏洞代码:GitHub、exploitdatabase
社区论坛只是库:WooYun.org(国内站点已经被封,国外镜像站还是有的)、freebuf
各种安全的小圈子:qq、微信等
我影响环境:
漏洞提交平台:各大网站的SRC
分享技术心得:blog、微博、微信等
参加安全沙龙会议:Xdef、xcon等
提供安全武器:脚本、插件、系统
创造web漏洞
创造利用思路
创造自身价值
创造黑客文化
To follow the path;沿着这样一条道路;
look to the master,关注大师,
follow the master,跟随大师,
walk with the master,与大师同行,
see through the master,洞察大师,
become the master.成为大师。
野兔
2019.2.10
转载于:https://my.oschina.net/hare1925/blog/3008763
如何成为一名白帽子?相关推荐
- 补天发动 3万多名白帽子找漏洞情报,这次有什么不一样
不久前,补天漏洞响应平台宣布,推出了全新的补天漏洞情报服务,将发动补天平台已注册的 36000 多名白帽子提供漏洞信息,经过安全专家分析研判脱敏处理后,加工成漏洞情报推送给行业客户. 补天掌门人白健在 ...
- TSRC白帽子,10亿用户的守护者
2018年1月9日,腾讯安全应急响应中心(TSRC)一年一度的年终盛典在深圳拉开了帷幕.正如本次盛典的主题「信念」,来自全国各地的白帽子兄弟们因为同一个信念,再次聚集在一起. 开场致辞:聚力安全人,共 ...
- 猿学~黑客、红客、白帽子之间的技术较量,为什么大公司都有黑客团队?
[全栈开发者2017年04月14日讯]QQ号.信用卡密码.企业核心数据库,在地下黑色产业链上,互联网上的一切信息都可能成为黑帽子黑客牟利的工具.处于防御姿态的白帽子黑客在与黑帽子黑客的较量中,赢一次不 ...
- 全球顶级白帽子:美女、通缉犯、公务员
与传统黑客所造成的巨大网络危机相对,白帽子黑客致力于将黑客发动的网络攻击的可能性与危害性降到最低,多年以来,白帽子与黑客进行斗争,使网络环境得到净化. 随着网络发展的需要,白帽子从无私的侠客逐渐成为一 ...
- 网络安全怎么学?20年白帽子老江湖告诉你
很多人都知道龙叔是个老程序员,但却不知道其实我也是个H客,20年前我就开始痴迷于H客技术,可以说是网络安全方面的老江湖了. 到现在,我还依然会去研究这一块,偶尔会和一些网安的朋友交流技术,比如说红盟的 ...
- 乌云和漏洞盒子停业整顿:白帽子被抓是导火索?
"袁炜事件"可能成为中国"白帽子"黑客江湖的转折点. 7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问.网站公告称,乌云及相关服务将升级, ...
- 干货!top白帽子 Gr36_ 手把手教你挖漏洞|2017 先知白帽大会
Gr36_,男,阿里云云盾先知平台白帽子贡献排行榜排名第一的白帽子. 从 2016 年开始,Gr36_ 在先知平台活跃,也在国内其他众测平台"挖洞".他对自己身份的定义是" ...
- 网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究
本文讲的是网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究,网络安全法实施第一天,网易安全应急响应中心(NSRC)和一位白帽子争执了起来. 在今天下班时分,网易SRC发布了一则言辞极为激烈的声 ...
- 读《白帽子讲Web安全》之安全意识篇(一)
2019独角兽企业重金招聘Python工程师标准>>> 写在开始: 这是一本以建设者的角度去解决安全问题的书. 一直以来安全行业都不缺少所谓的技术和毫无思想的说明书式文字,缺少的是对 ...
- 读《白帽子讲Web安全》之客户端脚本安全(一)
2019独角兽企业重金招聘Python工程师标准>>> [第2章 浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...
最新文章
- c++读取文本文件里的指定位置的字符_利用FSO对象向文本文件中写入信息
- OpenCV中的全景拼接例程
- 解决maven创建web项目过慢的问题
- mysql 调用webservice_C#调用Webservice的代码实现方式汇总
- 【转】用Fiddler做抓包分析详解
- 一句话征服了美国人,这位饱受争议的数学博士竟从未上过学?
- C#异常处理机制初步
- C++对于程序调试很有用的系统自带的名字
- PHP-获取文件后缀名,并判断是否合法
- 《编程之美》1.9:高效率的安排见面会的一个解法
- java如何获取文件路径_java如何获取文件路径
- 多尺度图像增强Retinex相关算法学习及实现
- 进销存excel_用Excel制作简单的进销存系统
- 【日常计算机问题】装系统的烧录的U盘恢复方法
- eterm显示未连接服务器,eterm一直显示未链接服务器
- jpa findOne()用法
- elementui实现横向时间轴_element ui step组件在另一侧加时间轴显示
- Java 导入Excel数据
- LBS-手机定位应用
- 一个光子的能量是多少?
热门文章
- Android N for Developers(API概览)
- POSCMS会员头像
- python列举字符串的五种常用方法_python中字符串、列表、元组、字典每个常用的5个方法...
- 解决:The APR based Apache Tomcat Native library which allows optimal performance in production......
- 携程后台开发笔试第二题
- 人人车创始人李健的创业之路
- 最好用的开源免费笔记软件IdeaNote
- 用计算机撩人套路,各种撩人的套路句子40句
- js获取免费天气api
- rails erb_您需要知道Rails中的erb以及如何掌握它