给想学习黑客技术朋友们的一封信
鄙人星云,非常喜欢网络安全,如今却阴差相错混在码农圈子。
自从创办“极客技术宅交流小组“ ”QQ 群后,尽管群介绍写的很清楚,但总时不时有人慕名而来想要加群加我想学习黑客技术。
对此不想再重复解释,因此写此篇做个总结,以告诫哪些想要学习黑客的,不要再走不归路。
什么是黑客?
如果你真的想当一名黑客,那么你知道什么是黑客么?
黑客:不是骇客,不是随意攻击别人的计算机和服务器的那类人,而是精通编程或在某一领域有较高造诣的一类技术狂热爱好者。
网络安全界的历史
众所周知,早期的操作系统是命令行模式下的MS-DOS 操作性系统(黑乎乎的命令行窗口),后来微软的图形用户界面操作系统因为方便,易学,易用,终结了MS-DOS 操作系统的统治。
后来微软一直以用户体验为核心,不断优化操作系统。早期,微软为了方便机房管理人员远程操作维护计算机,在操作系统中集成了一些有用的工具并默认开启了这些工具的配置。
比如mstsc 3389 远程连接,telnet 23 端口远程操作服务器。本来是为了方便用户使用开启的这些默认服务和配置,却在一段时间内成为了一些致命的漏洞。
有些人学会这些技术后,并没有正确使用它,而是开始滥用这些技术,以非法入侵其他人的个人计算机为乐,有的甚至以入侵来勒索钱财。
微软后来发现后,在新的操作系统更新版本中开始修复这些漏洞,但是就算如此,不是所有人都知道更新这些补丁,或者就算知道由于升级成本太高,而选择忽视。
这就导致当时的安全存在很大问题,当时想当一个骇客也不并不是那么难,只要对计算机有一定了解即可。
安全界有句很出名的话,攻防无绝对,技术无黑白。
就像古代,有的人学了武功会行侠仗义,有的人学了武功后却欺软怕硬,鱼肉百姓。
计算机也是如此,有些人,学了计算机技术后会做好事,当然也就有些骇客(学了计算机技术做坏事的人)他们开始利用一些合法的远程管理软件,加以改造开发,编写木马病毒,对计算机造成破坏。
- 木马,隐藏在正常文件中诱惑或者让你在不知情的情况下打开,具有更好的隐蔽性。
- 病毒,非法感染正常文件,具有很强的破坏性。
有攻击就会有人想防御,随着病毒木马的猖獗,一些第三方安全软件公司应运而生。小红伞,瑞星,金山毒霸,腾讯管家,360 卫士。。。
计算机的普及也达到了迅猛的发展,操作系统的防御也不停加固,国内的安全也不断开始加以重视。
随着时代的发展骇客们发现入侵个人计算机的难度越来越高,一些早期的黑客入侵检测软件和手段相继失效。
个人的计算机入侵价值也越来越小,因为你永远无法确定你入侵的主机什么时候回突然关机。
众所周知,一台高性能的服务器由于要长期对外提供服务,一般都会长期运转着。
于是乎,有人开始把目标瞄到了服务器上,这时便是互联网+时代。
这个时代各行各业都开始开发Web 应用来宣传自己的产品。
黑客们也不再叫黑客,好的黑客叫白帽子做网络安全防御,坏的黑客叫黑帽子做一些地下黑产业务。
服务器对外提供服务一般都会有网站程序,而如果想成功获取服务器权限,那么你不得不思考有哪些途径。
1. 部署的Web 应用中找漏洞,比如 弱口令登陆漏洞,万能密码SQL 数据库注入漏洞,XSS 解析漏洞。第三方框架中找漏洞等。
2.浏览器内核中找漏洞
3.浏览器falsh 插件中找漏洞
4.浏览器插件找漏洞
5. 密码字典生成器 如果密码很多,可能有些人密码会设置简单或者用生日等个人信息,一旦收集,就可能猜出来
6.撞库 ,社区太多,账号太多,有时候会设置相同的密码,一旦其中一个泄露,其他可能便会被非法登陆。
7.网络爬虫
8.抓包,重放攻击
这些虽然有,不过近两年来感觉好多了,还记得四五年前,国内南方后台web 应用漏洞简直不要太多。
时代继续演进,慢慢进入了移动互联网时代,论坛,博客除了技术人在使用,大多人使用手机越来越普遍。
与此同时,微软的操作系统也做了较大的升级,这便是windows 10.
在Windows 10 操作系统中,内置了Windows Defender Security, 因为和系统集成,轻便,小巧,无乱七八糟的其他附属应用捆绑。
这对PC端的安全扫描软件造成了一定的冲击,360,金山毒霸的装机量略有减少。
就在前不久,百度安全卫士PC端已全面下架。
编程和逆向安全领域:
码农界是 Android 开发工程师,IOS 开发工程师,手机游戏开发,PHP 开发工程师,Java 开发工程师,Python 开发工程师,前端开发工程师
开发了很多手机应用,移动端的安全也开始有了一些发展。
反调试工具,抓包工具相应而生。
网络安全界是 Android 逆向安全工程师,IOS 逆向安全工程师
当前时代,普通手机应用达到一定饱和后,人们慢慢发现想用手机控制一些硬件,
这个时代便是物联网时代,这个时期安全界也有人专门去研究硬件方面的安全。
而这又不小心会引发一场新的安全革命,物联网时代的安全仍需要很大的发展。
今天,人工智能,区块链,微服务,分布式,大数据,机器学习和AI算法 不得不说是很火热的。
前阵子见新闻听说网络安全界,很多网络安全爱好者在Github 开源了Python 大量的漏洞利用工具,比如Java 的反序列化漏洞利用工具。。。
如今乃至未来的安全行业,有真才实学的网络安全人才很匮乏。
如果想学,好好学,保持兴趣,不要轻易放弃。
如果了解后感觉不合适,请走一条适合自己的路~
如今网络安全界不再是那么简单拿着几个工具随便乱扫就是黑客的时代了,所以醒醒吧。
如果你是真的对网络安全感兴趣,那么你将来可以做一名渗透工程师,或者逆向安全分析工程师
最后希望你们少走点弯路,给你们几点建议吧:
编程学习之路
职业路径图: https://ke.jikexueyuan.com/zhiye/
想学习哪个方向可以看看~
网络安全学习之路
编程语言选择
PHP和 Python
公众号
黑客技术与网络安全
FreeBuf
看一些网络安全书籍推荐
《白帽子谈网络安全》
网络安全相关视频和培训
i 春秋: https://www.ichunqiu.com/
学习文档:https://micro8.gitbook.io/micro8/
逆向安全
新闻资讯
FreeBuf : http://www.freebuf.com/
操作系统
Kali Linux 操作系统:https://www.kali.org/
