鄙人星雲,非常喜歡網絡安全,如今卻陰差相錯混在碼農圈子。
自從創辦“極客技術宅交流小組“ ”QQ 群后,盡管群介紹寫的很清楚,但總時不時有人慕名而來想要加群加我想學習黑客技術。
對此不想再重復解釋,因此寫此篇做個總結,以告誡哪些想要學習黑客的,不要再走不歸路。
什么是黑客?
如果你真的想當一名黑客,那么你知道什么是黑客么?
黑客:不是駭客,不是隨意攻擊別人的計算機和服務器的那類人,而是精通編程或在某一領域有較高造詣的一類技術狂熱愛好者。
網絡安全界的歷史
眾所周知,早期的操作系統是命令行模式下的MS-DOS 操作性系統(黑乎乎的命令行窗口),后來微軟的圖形用戶界面操作系統因為方便,易學,易用,終結了MS-DOS 操作系統的統治。
后來微軟一直以用戶體驗為核心,不斷優化操作系統。早期,微軟為了方便機房管理人員遠程操作維護計算機,在操作系統中集成了一些有用的工具並默認開啟了這些工具的配置。
比如mstsc 3389 遠程連接,telnet 23 端口遠程操作服務器。本來是為了方便用戶使用開啟的這些默認服務和配置,卻在一段時間內成為了一些致命的漏洞。
有些人學會這些技術后,並沒有正確使用它,而是開始濫用這些技術,以非法入侵其他人的個人計算機為樂,有的甚至以入侵來勒索錢財。
微軟后來發現后,在新的操作系統更新版本中開始修復這些漏洞,但是就算如此,不是所有人都知道更新這些補丁,或者就算知道由於升級成本太高,而選擇忽視。
這就導致當時的安全存在很大問題,當時想當一個駭客也不並不是那么難,只要對計算機有一定了解即可。
安全界有句很出名的話,攻防無絕對,技術無黑白。
就像古代,有的人學了武功會行俠仗義,有的人學了武功后卻欺軟怕硬,魚肉百姓。
計算機也是如此,有些人,學了計算機技術后會做好事,當然也就有些駭客(學了計算機技術做壞事的人)他們開始利用一些合法的遠程管理軟件,加以改造開發,編寫木馬病毒,對計算機造成破壞。
- 木馬,隱藏在正常文件中誘惑或者讓你在不知情的情況下打開,具有更好的隱蔽性。
- 病毒,非法感染正常文件,具有很強的破壞性。
有攻擊就會有人想防御,隨着病毒木馬的猖獗,一些第三方安全軟件公司應運而生。小紅傘,瑞星,金山毒霸,騰訊管家,360 衛士。。。
計算機的普及也達到了迅猛的發展,操作系統的防御也不停加固,國內的安全也不斷開始加以重視。
隨着時代的發展駭客們發現入侵個人計算機的難度越來越高,一些早期的黑客入侵檢測軟件和手段相繼失效。
個人的計算機入侵價值也越來越小,因為你永遠無法確定你入侵的主機什么時候回突然關機。
眾所周知,一台高性能的服務器由於要長期對外提供服務,一般都會長期運轉着。
於是乎,有人開始把目標瞄到了服務器上,這時便是互聯網+時代。
這個時代各行各業都開始開發Web 應用來宣傳自己的產品。
黑客們也不再叫黑客,好的黑客叫白帽子做網絡安全防御,壞的黑客叫黑帽子做一些地下黑產業務。
服務器對外提供服務一般都會有網站程序,而如果想成功獲取服務器權限,那么你不得不思考有哪些途徑。
1. 部署的Web 應用中找漏洞,比如 弱口令登陸漏洞,萬能密碼SQL 數據庫注入漏洞,XSS 解析漏洞。第三方框架中找漏洞等。
2.瀏覽器內核中找漏洞
3.瀏覽器falsh 插件中找漏洞
4.瀏覽器插件找漏洞
5. 密碼字典生成器 如果密碼很多,可能有些人密碼會設置簡單或者用生日等個人信息,一旦收集,就可能猜出來
6.撞庫 ,社區太多,賬號太多,有時候會設置相同的密碼,一旦其中一個泄露,其他可能便會被非法登陸。
7.網絡爬蟲
8.抓包,重放攻擊
這些雖然有,不過近兩年來感覺好多了,還記得四五年前,國內南方后台web 應用漏洞簡直不要太多。
時代繼續演進,慢慢進入了移動互聯網時代,論壇,博客除了技術人在使用,大多人使用手機越來越普遍。
與此同時,微軟的操作系統也做了較大的升級,這便是windows 10.
在Windows 10 操作系統中,內置了Windows Defender Security, 因為和系統集成,輕便,小巧,無亂七八糟的其他附屬應用捆綁。
這對PC端的安全掃描軟件造成了一定的沖擊,360,金山毒霸的裝機量略有減少。
就在前不久,百度安全衛士PC端已全面下架。
編程和逆向安全領域:
碼農界是 Android 開發工程師,IOS 開發工程師,手機游戲開發,PHP 開發工程師,Java 開發工程師,Python 開發工程師,前端開發工程師
開發了很多手機應用,移動端的安全也開始有了一些發展。
反調試工具,抓包工具相應而生。
網絡安全界是 Android 逆向安全工程師,IOS 逆向安全工程師
當前時代,普通手機應用達到一定飽和后,人們慢慢發現想用手機控制一些硬件,
這個時代便是物聯網時代,這個時期安全界也有人專門去研究硬件方面的安全。
而這又不小心會引發一場新的安全革命,物聯網時代的安全仍需要很大的發展。
今天,人工智能,區塊鏈,微服務,分布式,大數據,機器學習和AI算法 不得不說是很火熱的。
前陣子見新聞聽說網絡安全界,很多網絡安全愛好者在Github 開源了Python 大量的漏洞利用工具,比如Java 的反序列化漏洞利用工具。。。
如今乃至未來的安全行業,有真才實學的網絡安全人才很匱乏。
如果想學,好好學,保持興趣,不要輕易放棄。
如果了解后感覺不合適,請走一條適合自己的路~
如今網絡安全界不再是那么簡單拿着幾個工具隨便亂掃就是黑客的時代了,所以醒醒吧。
如果你是真的對網絡安全感興趣,那么你將來可以做一名滲透工程師,或者逆向安全分析工程師
最后希望你們少走點彎路,給你們幾點建議吧:
編程學習之路
職業路徑圖: https://ke.jikexueyuan.com/zhiye/
想學習哪個方向可以看看~
網絡安全學習之路
編程語言選擇
PHP和 Python
公眾號
黑客技術與網絡安全
FreeBuf
看一些網絡安全書籍推薦
《白帽子談網絡安全》
網絡安全相關視頻和培訓
i 春秋: https://www.ichunqiu.com/
學習文檔:https://micro8.gitbook.io/micro8/
逆向安全
新聞資訊
FreeBuf : http://www.freebuf.com/
操作系統
Kali Linux 操作系統:https://www.kali.org/