前言

最近我一直在阅读如何进入“信息安全”的大量问题，帖子和讨论，在我看来，大家通常会遇到很多具有误导性的信息。我会把我的想法写在这里，希望帮助新手黑客向前迈进。

我想愉快的玩耍，从哪里开始呢？

这个问题是非常模糊的、开放的，跟有人问他们如何进入信息安全是非常相似的。要认识到的第一件事情就是，信息安全是一个有着巨大知识点的领域，并且每一个领域是一个终生的值得学习的内容。就像选择运动一样，没有“最好的”，只是有时候，你可能比其他人更喜欢。我列出以下相关的领域。

* Web应用程序安全 * 逆向工程 * 恶意软件反向工程 * 网络安全 * 事件响应 * 标准合规 * 为其他人编程/创建工具 * 开发利用 * 取证

其中一些更具技术性，而另一些则更为理论上的重点。我保证，无论你喜欢什么，还有其他人会发现它很无聊，就像你会有时候对别人感兴趣的一样。现在，预计如果你正在阅读这篇文章，你可能对这些领域中的任何一个都很了解，但重要的是你愿意学习什么类型的技能。

黑客类型

以下是我百度来的基础级别：

* Level 1——愣头青【百万人】：会使用安全工具，只能简单扫描、破译密码 * Level 2——系统管理员【上万人】：善用安全工具，特别熟悉系统及网络 * Level 3——大公司的开发人员或核心安全公司大牛【几千人】：对操作系统特别熟悉，开始开发  代码，写自己的扫描器 * Level 4——能找到并利用漏洞【几百人】：自己能找漏洞、自己找0day并且写exp利用漏洞的；对系统做挖掘漏洞的协议测试 * Level 5——高水平【少于百人】：防御和构建系统的人 * Level 6——精英级【几十人到十几人】：对操作系统的理解很深入 * Level 7——大牛牛【寥寥无几】：马克·扎克伯格、艾伯特·爱因斯坦等改变世界的人

非正式学习

“好的，我得到提示 - 我需要自己学习，但至少可以给我一个起点吗？
当然，有一大堆免费或便宜的资源可以开始，取决于什么主题吸引你。后面讲解了相关的几个方面，主要有web应用安全，网络安全，逆向工程等

web应用安全

• HackThisSite - 适用于基于网络的基本挑战（链接）

• Enigma Group - 类似于Hack这个网站

• OWASP Top 10 - 最常见的漏洞

• OWASP Broken Wep Apps - 一个虚拟计算机，您可以加载在您的网络上练习黑客技能

• Pentesting Lab - 另一个网络重点虚拟机

• 事实上，任何感觉你很好的vulnhub

• The Web Application Hackers Handbook- 在书上网络黑客攻击和漏洞
  备注：

  https://www.hackthissite.org/ http://www.enigmagroup.org/ https://www.owasp.org/index.php/Top_10_2013-Top_10 http://vulnhub.com/entry/owasp-broken-web-applications-project,46/ http://vulnhub.com/entry/pentester-lab-web-for-pentester,71/ http://vulnhub.com/ http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/1118026470

逆向工程/恶意软件逆向工程

• Lena’s Tutorials- 被称为逆向工程的最好的介绍之一

• The Legends of Random - 再一次又一套固定的反向工程教程

• Reversing: Secrets of Reverse Engineering - 一本关于逆向工程基础的好书

• Practical Malware Analysis - 一本专注于逆向恶意软件的书

• Malware Analysts Cookbook - 另一本专注于逆向恶意软件的书
  备注：

  https://tuts4you.com/download.php?list.17 http://thelegendofrandom.com/blog/sample-page http://www.amazon.com/Reversing-Secrets-Engineering-Eldad-Eilam/dp/0764574817 http://www.amazon.com/Practical-Malware-Analysis-Hands--Dissecting/dp/1593272901/ref=sr_1_1?s=books&ie=UTF8&qid=1403515878&sr=1-1&keywords=practical+malware+analysis http://www.amazon.com/Malware-Analysts-Cookbook-DVD-Techniques/dp/0470613033/ref=sr_1_1?s=books&ie=UTF8&qid=1403515949&sr=1-1&keywords=malware+cookbook

  网络安全

• 虚拟机主机靶机，因为它们允许您练习真实的机器。前往vulnhub并下载任何看起来很有趣的虚拟机

• Metasploit Unleashed - 一个贯穿metasploit测试框架的稳固运行，与VM结合使用。

• The Basics of Hacking and Penetration Testing - 渗透测试的非常基本的知识，对于那些刚进去这个领域的人来说是有用的。

• Metasploit – The Penetration Testers Guide - 另一本关于使用metasploit进行渗透测试的书

• 因为这是一个巨大的领域，往往会把它分解成一个方面，然后专门研究这个方面。博客是你最好的朋友。
  备注

  http://vulnhub.com/ http://www.offensive-security.com/metasploit-unleashed/Main_Page http://www.amazon.com/The-Basics-Hacking-Penetration-Testing/dp/1597496553 http://www.amazon.com/Metasploit-The-Penetration-Testers-Guide/dp/159327288X https://netsec.ws/www.google.com

  开发利用

• Corelan - 这是迄今为止学习关于开发开发的最好的资源。

• FuzzySecurity - 另一个很好的学习资源，有一些教程可用

• Exploit-DB - 您可以做的最好的事情之一是找到漏洞的例子（通常附带应用程序），并独立地尝试并复制漏洞

• Hacking – The Art of Exploitation - 一本涵盖不同开发技术的精彩书

• The Shellcoders Handbook - 另一本关于exploit开发和shellcoding
  备注

  https://www.corelan.be/ http://fuzzysecurity.com/tutorials.html http://www.exploit-db.com/ http://www.amazon.com/Hacking-The-Art-Exploitation-Edition/dp/1593271441 http://www.amazon.com/The-Shellcoders-Handbook-Discovering-Exploiting/dp/047008023X

总结

所以经过漫长的一阵子努力学习，关键点是什么？
黑客会积极寻求信息，而不是等待别人给他。一个脚本小孩和一个新的黑客之间的区别是学习的愿望。您需要尝试各种信息安全领域才能找到您感兴趣的内容，不要让任何人告诉你有学习信息安全的先决条件，没有。通过课程，安全游戏，捕获标志，更重要的是虚拟机，没有合法的复制方式。信息安全是一个令人敬畏的领域，你将每天都在学习一些新的东西，然后开始自己的另一种生活。

原文链接：https://netsec.ws/?p=468