如何成为一名正义黑客？你应该学习什么？

前言

这是我关于如何成为道德黑客的建议，您应该遵循以下步骤。

简要说明

当谈到学习如何编程时，我建议先学习Python，然后学习Java。

（非必须）接下来，学习一些算法和数据结构将帮助你更好地编程。

学习了如何编程后，您需要学习如何用C语言进行编程。我们将重点关注以下主题：结构、指针算术、按值调用和按引用调用、字符串IO 基础知识、宏、条件编译和程序结构。

了解UNIX 操作系统的基础知识：Unix shell、shell 变量、文件系统、常见Unix 命令、shell 脚本编程和Unix shell 环境。

（可选）学习汇编语言。了解汇编语言如何翻译成机器代码，然后翻译成可以在计算机硬件上运行的程序。您还需要学习如何分析装配程序以帮助进行逆向工程。

了解计算机操作系统和架构、进程管理、内存管理、文件系统接口和实现、IO系统、分布式系统、计算机网络、Java网络编程、保护和安全。了解计算机系统的基本组成，系统管理员，从宏观上了解计算机的主要组成部分和结构。

进程管理：进程、线程、进程同步、CPU调度、Java多线程编程、死锁。内存管理：主内存和虚拟内存。

体验不同的操作系统，包括win unix linux命令行和GUI模式。

（非必须）它还可以帮助你学习密码学，密码学的数学非常有用。应用层安全性包括传统对称密钥、现代对称密钥、RSA、数字签名：PGP、S/MIME

了解计算机网络和互联网应用层（Web、HTTP、FTP、DNS、套接字通信）。传输层：UDP、TCP、拥塞控制等。其他精彩主题：网络管理、WireShark 网络流量分析、渗透测试、网络安全。我们还涵盖计算机和网络取证、漏洞和恶意软件分析、低级协议数据包分析等。

了解软件工程。了解软件开发的各个阶段，如需求、文档、设计、编码、测试和维护，以及软件开发模型的优点和缺点。

除了学习之外，我还喜欢参加夺旗战，有了一些基础知识后就参加安全会议，经常访问安全网站，在学习了一定的网站相关知识后，我还喜欢创建自己的网站。您还可以做其他好事，例如尝试构建一个。

本指南可能比其他人写的要困难一些，但是当您想成为正义的黑客或渗透测试专家时，它绝对是必要的。你不可能从一个脚本小子变成一个正义的黑客，而且我写的一半内容都不适用。我知道我在做什么，因为我知识渊博。

网络安全学习路线

1.1中华人民共和国网络安全法

网络安全学习与传播

了解并实施《网络安全法》

《全国人大常委会关于维护互联网安全的决定》 《中华人民共和国计算机信息系统安全保护条例（ 2011 年修正）》 《中华人民共和国计算机信息网络国际联网管理暂行规定》 《计算机信息网络国际联网安全保护管理办法》 《互联网信息服务管理办法》 《计算机信息系统安全专用产品检测和销售许可证管理办法》 《通信网络安全防护管理办法》 《国家安全法》

1.2LINUX基础运维

LINUX系统运维基础LINUX服务管理安装和使用DOCKER 保护LINUX

1.3LINUX网络管理

基本网络物理层数据链路层和交换网络模型OSI TCP 点对点传输虚拟LAN VLAN 静态路由和配置网络地址转换NAT 访问控制列表ACLIP 协议和IP 地址分类子网掩码网关子网

1.4HTML与JAVASCRIPT

HTML简介为什么需要学习HTML HTML文档格式、实体、HTML标签、框架、表格、列表、表格、图像、JAVASCRIPT的详细背景资料JAVASCRIPT概述JAVASCRIPT的特点JAVASCRIPT的结构如何编写JAVASCRIPT Web 里面页

1.5PHP入门

PHP环境搭建、编码工具选择PHP基本语法（函数、变量、常量、注释、数据类型、流程控制、四种算术运算） PHP流程控制（IF语句、多重嵌套SWITCH语句、WHILE循环、FOR循环、GOTO循环） PHP 函数PHP 正则表达式PHP 文件上传、PHP 错误处理PHP 操作MYSQL 数据库PHP 会话管理和控制

1.6MYSQL

部署、分类、安装、配置、登录、连接等基本数据库操作；创建、查看、选择、审核数据库表以及调整其他相关数据字段的顺序。排序、删除等字段命令行操作* 数据库表操作，对数据库表的创建、显示、选择、删除等相关命令行操作： 数据类型：整型、浮点型、字符型、时间、匹配等。 字符集索引。添加、删除、修改、查询、更新记录以及操作数据库权限。

1.7JAVA入门

1.8密码学 穿越密码的迷宫

基本概念解析- 什么是编码？寻找灵丹妙药- JAVA代码简介加密与解密对称密码学- DES AESJAVA 代码分析- RSA EIGAMAL 椭圆曲线ECC JAVA代码非对称密钥生成器分析JAVA代码分析密钥规范管理JAVA 代码分析数字签名数字证书相关管理JAVA 代码分析安全套接字简单且常用的BASE64 文件检查- 循环冗余检查通过CRC 突破导出限制- 使用BOUNCY CASTLE 替换编码转换辅助工具- 实现COMMONS CODEC 的默认算法

第二部分：渗透与攻防

2.1安全基础与社会形势

2.2KALI常用工具的渗透与防御

MSF 问题的解答以及完整MSF 升级和基本MSF 命令的解释。

2.3SQL注入的渗透与防御

SQL 注入- 什么是SQL 注入？ SQL 注入的原理SQL 注入- SQL 注入会带来哪些危险？ SQL 注入- 什么是GET 类型SQL 注入- SQL 注入- SQL 注入注入什么是POST SQL 注入什么是SQL 注入- 确定SQL 注入点SQL 注入- 回归测试SQL 注入- 注入类型SQL 注入- 基于时间基于时间的盲SQL 注入- 基于USER-AGENT 的注入SQL 注入- USER-AGENT-基于注入实践SQL 注入- ERROR 基于错误报告的SQL 注入- STACKED QUERIES 基于堆栈的SQL 注入- BYPASS 混淆绕过SQL 注入- BYPASS WAF 绕过SQL 注入- BYPASS WAF 绕过概述SQL 注入- REMOTE CODE EXECUTION 远程代码执行SQL注入- 使用SQLMAP SQL 注入- SQLMAP 原理和阅读源代码SQL 注入- SQLMAP 实践1 – SQLMAP 实践1 – COOKIE 注入SQL 注入- SQLMAP 实践2 – USER-AGENT 注入SQL 注入- SQLMAP 实践3 – 手动注入和SQLMAP 比较SQL 注入- SQLMAP实践4——反数据库SQL注入——SQLMAP高级应用SQL注入——如何防御SQL注入

2.4XSS相关渗透与防御

XSS基本概念和原理介绍、反射存储DOM类型实用XSS、钓鱼和盲打演示、搭建XSS平台和COOKIE、检索反射XSS（POST）、检索用户密码XSS、键盘记录XSS获取、防止XSS绕过、绕过HTMLSPECIALCHARS()函数XSS安全防御

2.5上传验证渗透与防御

文件上传-基本文件上传-场景文件上传-漏洞原理文件上传-文件上传代码功能原理图片拦截文件上传-漏洞上传-单句木马文件上传-后缀客户端验证-JS禁用BURP修改包括本地发送文件上传- 后缀黑名单验证- 大写和小写字母的点和空格符号： $DATA 文件上传- 后缀白名单验证- MIME 修改%00 截断0X00 截断文件上传- 后缀可变性验证- FINECMS 任意文件上传上传-文件头变异验证- MIME 文件上传验证- 文件上传的二次渲染- 代码逻辑条件冲突文件上传- HTACCESS 文件上传中的间接解析- 如何避免文件上传漏洞。

2.6文件包含渗透与防御

中间日志包含绕过PHP 的内置文件读写功能。 STRREPLBE 函数绕过内置函数。 截断被绕过。 FNM_TBH函数绕过文件的内置漏洞保护。

2.7CSRF渗透与防御

CSRF漏洞概述和原理、修改和恢复CSRF管理员密码、CSRF漏洞安全防范。

2.8 SSRF渗透与防御

SSRF原理及搜索方法、SSRF攻防实践及防范方法。

2.9 XXE渗透与防御

XXE基础知识、XXE CTF测试题、XXE CTF测试题、漏洞修复XXE漏洞攻防测试

2.10 远程代码执行渗透与防御

远程代码执行原理简介PHP 远程代码执行常用功能演示PHP 反序列化原理及实例演示WEBLOGIC 还原反序列化攻防流程STRUTS2 命令执行还原攻防流程JBOSS 还原反序列化攻防流程远程命令执行漏洞修复

2.11 反序列化渗透与防御

反序列化- 什么是反序列化操作？ 反序列化- 为什么会出现安全漏洞反序列化- 如何发现PHP 反序列化漏洞- CMS 审计- 序列化测试点反序列化- JAVA 反序列化漏洞发现反序列化。 – JAVA反序列化测试点- 现实世界反序列化中的CTF – JAVA逆向WEBGOATYSOSERIALPAYLOAD反序列化- 反序列化如何避免序列化漏洞

2.12 逻辑相关渗透与防御

逻辑漏洞概述、如何挖掘逻辑漏洞、修改密码中的逻辑漏洞、分享个人项目中的逻辑漏洞、

2.13 暴力猜解与防御

C/S架构暴力破解（常见网络、系统、数据库、第三方应用密码破解）* * B/S架构暴力破解（弱口令）安装与使用HYDRA暴力破解安全防护

网络安全学习路线学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面概述了适合零级网络安全的一系列学习路线。学完以后，至少6k最好。即使你的基础很差，如果你凭借网络安全发展的势头继续学习，在大公司找到工作，年收入100万日元也不是不可能。

初级网工

1、网络安全理论知识（2天）

了解行业背景和前景，决定发展方向。

学习有关网络安全的法律法规。

网络安全运营理念。

等保制度介绍、等保法规、流程、规范。 （很重要）

2、渗透测试基础（一周）

渗透测试程序、分类和标准

信息收集技术：主动/被动信息收集、Nmap工具、Google Hacking

漏洞扫描、漏洞利用、原理、使用、工具（MSF）、IDS绕过、防病毒侦察

主机攻防训练：MS17-010、MS08-067、MS10-046、MS12-20等。

3、操作系统基础（一周）

Windows系统常用功能及命令

Kali Linux系统常用功能及命令

操作系统安全（系统入侵调查/系统加固基础设施）

4、计算机网络基础（一周）

计算机网络基础、协议和体系结构

网络通信原理、OSI模型、数据传输流程

常用协议分析（HTTP、TCP/IP、ARP等）

#以上是关于如何成为一名正直的黑客我应该学习什么？相关内容来源网络仅供参考。相关信息请参见官方公告。