如何評價一個黑客的水平？

01-05

什麼是真正的黑客（hacker）？
國家隊的黑客水平如何？
2010新編中國頂級黑客圈內人物資料和QQ,微博以及博客詳解
用手上的0day評價一個黑客靠譜嗎？

假定題主所說的黑客不是指那些:刷鑽，抓雞，日站，啊D。

而是指已經具備了可以自己寫東西，結合經驗，可以獨立挖洞，思路猥瑣且具有幾年經驗的黑客…

那麼下面的個人意見可以作為參考

1，涉及領域光。

詳情創宇的技能表，真的很全面，

並不是我在賣廣告，我不是創宇的人。

但他們的技能表，很務實，

無論從技術角度，還是學習角度，

都需要時間和經驗累積才能達成的。

一個略有資格的人，不會只說自己會什麼，

而是自己擅長什麼…略懂什麼。

2，黑客道德高。

作為一名白可救天下，黑可毀世間的人，

只要道德出現問題，那就是觸犯法律。

並不是說平時的黑盒測試怎樣，只是…

把我褲子都脫了，我還要謝謝你？

所以說，一個黑客要想長久的補充自己的技術，

要麼出國，要麼就老老實實別闖大禍。

3，為人素質好。

其實應該放第一個，但終歸大家更偏向技術，

尤其是在這個圈子裡，人品特別重要，

想想，別人敢給對你說我用xx方法日了xx嗎？

別人敢給你0day，僅供你學習研究？

這個就不多說了，各位深有體會。

附:懂得把握分寸，學會傾聽，雖然大家都有同樣的夢想，但在交往中還是會有分歧的。

首先需要定義好黑客，不然一堆人又來科普說真正的黑客不黑電腦的，另一堆人覺得這堆人在扯淡。

純技術角度考慮，一般認為：

一流獨立挖洞，寫EXP

手握各種0day，挖的洞各式各樣，從操作系統底層（系統DLL上的各種堆棧溢出，如MS12020）到各種軟體（IE漏洞，如極光，apache漏洞，如struts2 漏洞）到WEB應用（如各種cms的SQL注入，XSS點，如最近的discuz7.2SQL注入漏洞）。大家嘴巴上說挖洞人都是一樣牛逼的，只是方向不同，實際上大家心中默認還是覺得牛逼程度依次排列：操作系統漏洞&>各類軟體漏洞&>web應用漏洞。

二流熟悉各種漏洞利用，poc出來後能第一時間寫EXP，跟第一流其實有重疊，也能挖洞，不過能力一般有限，並且把更多的時間花在了各類洞的利用上。

三流，有一定程序水平，不過要自己寫EXP寫不出來或者寫的很爛，效率奇低。一般就經常關注各大漏洞平台或者知名黑闊的blog，眼巴巴等著EXP出來了就拿去刷洞。

四流，只會拿著EXP刷洞，還經常刷不出來，而且工具基本上必須圖形化，metasploit，sqlmap這類工具基本不知道或者聽說過。手工滲透能力極其有限，俗稱腳本小子。又或者只是不斷的掃1433，然後去D別人，或者出售肉雞之類的，技術水平差不多都歸於此類。

大致水平分類就是這樣了。

PS：某種意義上來說，馬商，流量商，購買shell掛黑鏈等人也可以說是黑客，不過這些人的水平不好判斷，技術層面也許完全不懂，也許還行。

從兩方面來看，一方面是研發能力！研發能力強，才能挖到洞，寫出自己想要的工具。另一方面，是實戰能力，在各種環境，狀況下的精確判斷，從而用最短的時間和最少的操作拿下對端。

http://www.ted.com/talks/keren_elazari_hackers_the_internet_s_immune_system 看到的Ted上面的一個演講

技術水平？那肯定很不錯了。道德水平？純鑽研技術，懂得分寸，不危害社會，不做像什麼勒索病毒之類偷雞摸狗的事情，這才叫真正的黑客

能不能黑進美國國防部。