名詞解釋 ——
白帽子:描述的是正面的黑客,他可以識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不會惡意去利用,而是公布其漏洞。這樣,系統(tǒng)將可以在被其他人(例如黑帽子)利用之前來修補漏洞;以上解釋來自百度百科。
而我今天要說的白帽子是指公司或機構(gòu)內(nèi)專門負責(zé)WEB安全方面的工程師,簡稱白帽子。
眾所周知,隨著新聞不斷的爆出用戶系統(tǒng)數(shù)據(jù)泄露事件,越來越多的公司和機構(gòu)開始重視網(wǎng)絡(luò)安全,大公司紛紛為這個工作設(shè)置了專門的職位。越來越多的人開始關(guān)注WEB安全方面的信息和知識。
那么,對于剛畢業(yè)無任何工作經(jīng)驗的大學(xué)生或是無相關(guān)Web安全知識想要轉(zhuǎn)行的菜鳥們來說,能否自學(xué)成為一名合格的白帽子工程師呢?
通過咨詢在此行業(yè)打拼了幾年的老人,以及相關(guān)IT培訓(xùn)機構(gòu)的老師們,總結(jié)出了以下幾點,供大家自行決定是否采用。
1. 純0基礎(chǔ)的人想要入行,從Web安全入門,理解SQL注入和XSS這兩大類漏洞原理,可以看一些參考書籍,書籍名字可以自行網(wǎng)上搜索,找那些購買量和推薦量高,試讀的時候自己讀的下去的即可。
2. 死磕烏云,每天過一遍新公開漏洞,看思路,記關(guān)鍵點,看烏云知識庫內(nèi)基礎(chǔ)內(nèi)容??梢韵汝P(guān)注某一細分領(lǐng)域,關(guān)注烏云上此類內(nèi)容,看標(biāo)題猜詳細漏洞內(nèi)容,漏洞公開后看與自己想法是否正確,熟悉后換下一細分領(lǐng)域,以此進行。
3. 思想掌握后,開始熟悉HTML和JS,上網(wǎng)養(yǎng)成多按F12的習(xí)慣,多玩Console。
4. 學(xué)點編程語言,可選擇的有PHP和Python(Py2),第一選PHP,因為PHP環(huán)境最好打,網(wǎng)站最多,入門最快。其次是Python,因為工具都是用它寫的。
5. 學(xué)會兩個工具SOLmap和BurpSuite。
以上,Web方面的漏洞則基本夠用了。
如果學(xué)到編程語言時遇到障礙,可以多參考網(wǎng)上的付費精品視頻,或是選擇線下培訓(xùn)班去學(xué)習(xí),切記:代碼是一個勤快的活計,多看不管用,一定要手動多敲幾遍。
上述都掌握后,還需多關(guān)注最新爆發(fā)的漏洞,看完原理,自己寫EXP,能針對性的了解到各種CMS和系統(tǒng)的脆弱性,可以針對性的寫出利用工具。那么,你就已經(jīng)離一名合格的白帽子不遠了。