滲透,挖洞,後門,0day,肉雞等等這些詞都是和哪個方向有關的,我想入門卻不知從何學起…?

我現在入門計算機一個月了,很崇拜那些東西。但是計算機領域給我的感覺就是,站在門口,前面有座山,直接擋在我的面前,不知從何學起。因為沒有方向,所以有點不知所措

我是一個非計算機專業的大學生,當初選專業也是隨便選的根本不了解,現在發現對計算機,編程,很感興趣。

我先是了解到C語言是最基礎的編程語言,然後就自學了慕課網上的C語言入門,之後(因為不知道要實踐)感覺沒吊用,就不學了;過了一段時間又自學了HTML/CSS,但是感覺前端我並不太喜歡,感覺要是有一些工具,掃描下埠,實戰一下才有感覺,(感覺先有成就感了再學習基礎知識比如數據結構,操作系統原理什麼的)(我是不是太浮躁了)

求大牛能給我指明方向 ,很糾結 @壞蛋 @王音 @餘弦


謝邀,首先我完全同意題主所說的最後一句,學習一個東西先有成就感,或者說先有興趣,再談學習,這個是一個亘古不變的命題,也就是知之者不如好之者,好之者不如樂之者,雖然說人生不如意十有八九,在學習中我們常常不可避免地要學習那些我們不喜歡的東西做個知之者,但是,假如一門學科突然我們發現它能給我帶來樂趣,彷彿對這門學科有種相見恨晚的感覺,那麼,我們就要嘗試在這門學科上往深走。所以說,假如你對計算機抱有這種興趣,請切記,永遠不要讓自己喪失對這門學科的興趣。

下面我們談談正題:

滲透大部分屬於web安全方向,就是利用漏洞來取得一些數據或達到控制,讓對方程序崩潰等效果

挖洞的話,就相當於在程序中查找漏洞,舉一個不大恰當但容易理解的比喻,就像韓非子說所的那個自相矛盾的故事:楚國有個人自稱自己的矛是世界上最鋒利的矛,沒有什麼盾牌它刺不破,同時又說自己的盾是世界上最堅固的盾,沒有什麼矛能刺破它,雖然兩句話在語法上並沒有什麼不妥,但卻有個致命的邏輯漏洞,因為用他的矛刺他的盾,將導致「不可預知」的結果,當然了,在程序中這種「不可預知」的結果往往會導致各種問題,崩潰或執行非預期功能都有可能,這個就是漏洞了。

再來說說後門,這個很好比喻,就像是警匪片中的卧底或者是笑傲江湖中的岳不群,表面上做一套,背地裡做另一套。在軟體中就是這個軟體提供給你了你需要的功能,但在背後它可能偷偷摸摸地幹了一些你不想他乾的事,例如竊取你電腦上的文件。

0day和挖洞是相關的,漏洞發布後,廠商一般不能說馬上把漏洞填補了,那麼這段時間這個漏洞是可利用的,久而久之,我們把那些剛發布的漏洞(或者說根本沒發布自己偷偷用的漏洞)叫做0day,當然了,它的殺傷力較一些老的漏洞往往大的多。

肉雞的話我們可以直接理解為已經中了木馬受我們控制的傀儡計算機,我們可以控制傀儡機做一些我們不直接做的事情。

術語講完了,我們來再來談談學習的事情,第一段已經說了,興趣是最好的老師,我一直認為是不是計算機專業對一個人的計算機水平並不能下定論,很多這方面的大神並不是計算機專業出身的,但是技術水平並不比專業出身的低。我覺得最關鍵一點是,那些大神基本都是對這方面有興趣,因此他們會花更多的時間在這點上,因此水平自然比得過且過的專業生還高。

最後到了怎麼學上來了,我認為,初學者學習C語言是個非常正確的決定,學習C語言在很多的時候,往往能夠學習到C語言之外的東西,對程序的運行,內存的分配與管理,數據結構甚至是編程的書寫習慣,都有非常大的好處,可以說,C語言學會後再學習其它大部分的語言都會快得多。至於說C語言沒用,或者說什麼C語言太老將會被淘汰,這絕對是神論,要知道,絕大部分的單片機設備都有C語言的身影,從手機到遙控器再到我現在打字用的鍵盤,其程序都很有可能是C語言的產物,而且基本可以斷言,Java,php,c#.....能做到的,c語言也能做到,c語言能做到的Java,php,c#....不一定能做到,當然,我舉這個比喻並不是說c語言比其它語言優越,語言各有各的優點,只是想說,c語言的學習對初學者接觸並學習編程大有好處。,並且在未來很長很長一段時間裡,c語言也不會所謂的「過時」。

同時題主也說到了,剛開始學習C語言是很枯燥的,相比於C語言這種學習了半載一年還沒有什麼成果的玩意,直接用工具按照教程來達到目的會容易且有趣的多,這點我並不反對,不過我們仍然不可避免的需要面對一個現實,哪怕你對一個學科再有興趣,學習之路從來就沒有一帆風順的,我看過很多的學生,他們一開始口口聲聲的說對計算機多麼多麼有興趣,多麼多麼熱愛,但是當他們真正開始學習一門語言後發現現實並不是他們想像的那樣,往往都半途而廢了,我並不是質疑他們的熱情,但是,這種碰壁就退縮的學習態度肯定無法讓他們在這方面更進一步,態度的差異是明顯的,在我所了解的學生中,有的僅僅只是花了六節課,就把語言的語法掌握了,到十二節課時,已經有能力自己完成一個聊天室;而有的學生,永遠停留在完成課後作業就了事上,更糟糕的是,作業做不出來他並不思考著如何解決,而是等到下一節課讓老師來講並且從來不複習鞏固,於是上一節課還一節課,十節課下來,還是什麼都沒弄懂。連基礎的語法都沒有掌握,我並不認為兩個學生在智商或者記憶力方面有多大的出入,我對他們兩個也絕對沒有教學上的偏袒,我只知道的是,前者常常因為課後習題熬夜到三點,而後者僅僅是花了兩個小時完成作業(甚至沒做出來),在接下來的一周時間裡,就再也沒有解決或複習了,因此,前者與後者,在學習效率上,相差了幾倍乃至十幾倍。

我經常說的一句話是:假如交學費就能把東西學會,那學習是不是太簡單了?

因此,題主假如真正喜歡這個行業,真正想在這方面有所進步,僅僅使用工具,是永遠無法幫助你取得進步的,最多只能算是學習道路上消除枯燥的甜點,你可以通過工具培養興趣,但終有一天你想要突破瓶頸,你就必須步入那些枯燥的學習過程,這個不管是編程還是其他領域,都是亘古不變的道理。

最後如果要說點道路的話,一般套路是這樣的

x語言編程入門---》x語言性能優化,深入x語言,x語言陷阱----》編程之蟬,軟體架構設計---》哲學----》脊椎病康復指南----》活著

哈哈,當然這是開玩笑的,但現在你可以從學習一門語言入手(假如你確實不喜歡c語言的話,其它語言也是可以考慮的)至於道路其實並沒有道路,當你學會一門編程語言後並通過大量的實踐與「有趣的編程實驗後」你自然會知道你想做什麼。

最後是一點個人經驗;

1.學習一門語言最快的方法,是照著書本將上面的例子自己寫一遍,並且再寫出類似的程序

2.語言只是工具,學好一門編程語言只代表一名廚師有了一把好菜刀,但一個廚師做得出可口的飯菜,並不只是因為他有一把好菜刀,我見過很多的人迷失在「追逐一把好菜刀」而糾結於一些本沒有必要的語法與特性上,卻忘了語言最終的目的是什麼。

3.數學永遠是最最最最根本的基石,英語是你最最最好的學習工具與夥伴,不管你信不信,在計算機界有所建樹的,基本不是程序寫的最好的,他們往往是數學家或物理學家

4.在學習過程中鍛鍊出一個健康的身體,永遠是比你的技術更值得誇耀的資本

5.興趣和工作,並不是混為一談的。

那麼說了那麼多,取捨全憑題主,最後祝題主學習愉快。

推薦我們的學習網站:

i春秋學院:http://www.ichunqiu.com/

i春秋論壇:i春秋論壇


計算機大三,準備入駐安全行業。敘述一下我自己的學習經歷吧。

我當初初三的時候也是像題主這樣,不知道計算機到底該學什麼,只是在百度上看到大家都說學c語言,就自己下了本譚浩強的C語言程序設計。

那時候只有學習機,不支持pdf,還得轉成txt。然後格式超亂,特別是表格,配圖肯定是沒有,現在想想真是心酸。

本以為學完之後應該能做點什麼,結果發現除了一個黑框,輸入幾個數字,輸出結果,什麼都做不了。

當時真的非常困擾,在網上到處問。可是看到的全是似是而非的答案,什麼「你c語言真的學好了么」然後balabala一堆數據結構什麼當時根本一頭霧水的概念。

直到高中的時候,看到一本書,叫做《windows程序設計》。這才知道消息機制,直到圖形界面是怎麼實現的,然後才知道軟體是調用系統介面來實現功能的。那時候已經有智能機了,我才能幸運的用adobe在手機上看起了pdf。

再後來看了《windows核心編程》,高三暑假自己寫了個簡單掃雷。大學報的計算機,不過學校的課基本都很水,我也不怎麼感興趣,但是為了考試,上課自己看課本(其實主要因為本人近視又不願意戴眼鏡,看不見黑板,所以只能先看書才能盲聽聽懂老師在講什麼)。

課下的時候,我也不知道該學什麼,於是操作系統內核,逆向,jee,前端,什麼都學了點,雖然都不是很熟。後來遇到了kali(我也不記得我當時是怎麼知道的),開始了我的安全之路。知道了metasploit,burp suite,swlmap。直到secwiki,freebuf,這才對計算機的各個方向有了了解,知道網路安全該學什麼,做網站該學什麼,做病毒,rookit該學什麼。

感嘆完了,給題主幾點建議吧。如果題主想要學習安全的話,首先要清楚,安全主要分兩個方向:

1.上層的話就是web安全,就是做滲透測試。可以推薦題主《web攻防技術寶典web實戰篇》,我就是看這本書入門的。當初因為看不懂前面http,半路跑去學java做網站,然後在繼續學。如果發現那一塊欠缺可以先放下來,先學一學自己欠缺的。然後就是多逛一些安全網站,博客,比如上文說的兩個。畢竟烏雲已經關閉了。

2.就是二進位安全,主要是研究系統漏洞,軟體漏洞。這就要非常深厚的彙編基礎與操作系統知識,門檻比較高。書的話可以看看《黑客攻防技術寶典系統實戰篇》或者shellcode手冊。

但是這兩個方向一個向上一個向底層,最好不要同時學,否則極易雜而不精,尤其是二進位安全,需要很強的鑽研能力與基礎。


C不想學,又不想做前端,想找漏洞?找前端漏洞總得會點前端吧?找開源系統漏洞,得學學靜態分析,了解coverity這種工具還有編譯器吧?找host系統漏洞或是病毒分析得學彙編,那ollydbg,ida得學學吧?怎麼控制bot net,也就是所謂肉雞,怎麼隱藏控制肉雞的流量不暴露自己的身份,這些都需要大量的知識儲備才能和對方鬥智斗勇的本錢。當然了,很多網站用著十年前的建站工具,防火牆還用這默認密碼,也許攻下一個網站並不困難,也許三五個指令就足以在朋友圈裡炫耀一番,但是除了一時的興奮,這能給你留下什麼印記嗎?網站的漏洞和損失也許一會兒就會修復,也許你所做的一切都像沒發生過。碰上了好好配防火牆的,你甚至沒法對內網掃描,如果對方會玩兒,搞不好你還會被騙進honey pot,被公安機關請喝茶。

我怎麼覺得我像是來勸退的。。本意不是勸退啊,如果你要想玩各種現有工具而不想學基礎的話,裝個kali系統看網上各種視頻教你怎麼玩兒吧,這些自動化的工具不需寫要什麼代碼,但也足夠玩兒一陣了。

玩兒完之後如果你真的入門了安全,你會覺得之前真是在浪費時間。


先來定義幾個相關的幾個關鍵字

滲透、入侵、社會工程學、蜜罐、內網滲透、外網滲透。

入侵滲透涉及許多知識和技術,需要前期的很多準備,

滲透測試對於企業和個人來說都是非常重要的,

企業在這塊花費也非常大,一般來說企業的測試分為白盒測試和黑盒測試

一種是授權和沒有授權,你就可以理解一種你有部分資源、一種你什麼都沒有。

對於難度、費用、技術,3者都是非常高的。

如果你可以看透對手下一步要走的棋子,那麼你就會勝券在握;

如果你能夠先手預知,那麼你一定能拿下目標;

如果你可以偵聽到女神的思維信息,那麼你表白成功的概率就會暴增;

如果你能夠有竊聽偵查入侵目標,你可以橫行無阻;

如果你確定知道明天有哪支股票會漲,那麼你一定可以身價翻倍。

滲透入侵涉及的面很廣,一章節主要講解一個細分領域的,

太多了怕消化不了,

滲透入侵講得是網路世界,通過計算機進行操作,

而社會工程學則是對你偽裝身份的考驗,

作者:花無涯
鏈接:https://zhuanlan.zhihu.com/p/26250462
來源:知乎
著作權歸作者所有。商業轉載請聯繫作者獲得授權,非商業轉載請註明出處。


剛看到這個問題的描述的時候我第一反應是:這不就是個腳本小子嗎……

後來翻了翻評論,覺得題主確實想學東西,但是又挺迷茫。

像到了一年多以前的我,於是不請自來答題一發。

你想要實戰的心情我也明白,但說實話初學者這麼干容易被人順著IP找上門………

我覺得你要先明白自己真的喜歡這個嗎,還是說喜歡用點工具日下網站來的裝X感。

這幾天在準備CTF,就以CTF的分類來說,你是喜歡web呢,或是reverse,pwn??喜歡頂層的東西還是底層的東西?

像i春秋,實驗吧,都是提供實驗環境讓你體驗一下黑客的感覺的。你想要的成就感是這個意思吧我猜?

如果是pwn的話你可以試試這個網址 pwnable.kr 這個網站的題目剛開始都很簡單的。

reverse的話也有網站…域名記不住了,明早幫你查一下。

像wechall這種題庫型的就更不用說了。

至於你現在的狀態,學了C覺得沒用,學前端不喜歡,就是想用工具,那麼你想想,有你存在的必要嗎,你的成果都是工具的出來的,換成別人照樣可以,你的重要性在哪裡。

sql 會盲注嗎?XSS最最基本的會寫嗎?IDA不用F5能看懂嗎(或者用了F5能看懂嗎,不好好學C恐怕就是買了上千美元的軟體給你用插件你都看不懂吧)

年輕人還是要沉下心來。高手是用工具,啥都不學啥都不會的腳本小子是工具用它。


https://m.zhihu.com/question/20607351


沒啥大牛,不要慕名崇拜,只是經歷多了,希望回答對你有幫助,你絕對浮躁,你感興趣是第一步,將來的路很長,語言最終還是機器語言,x86,arm,mips,……,你要理解code和data,其實都是data,c,c++.,都是高級語言,學語言不重要,cpu原理重要嗎,對於軟體層面也不重要,就是對某個地址取值和賦值,操作系統是設計思想很好,不是代碼寫的多漂亮,重要的是要了解【基礎原理】,設計思想,咱不是做晶元的專家,邏輯電路不懂,不丟人,因為不是一個領域,python,也只不過是c++的實現,問你一個問題,人工智慧和編程語言有關係嗎?你需要的是先學會某個語言,再問問題。做安全建議c和asm。


來強答一個。 web安全渣渣一個。 入坑時候html都看不懂(現在也不咋地)。 一開始跟著學。

記得當初提交的第一個漏洞是注入~~ 當時連sql注入原理都不懂 拿個掃描器+sqlmap跑一下就提交了

紀念下我死去的愛情

然後就愉快的混烏雲社區了 以刷rank為目標啊 結果還沒到普通白帽子烏雲就升級了~~~

整體來說web安全比二進位安全還是學的快一些 也更簡單一些的 但這個只是前期啊

後來我就到了一個迷茫的階段 什麼xss sql csrf 等都知道咋回事 但是就是還是渣渣

就自己反思了一下 覺得還是要學原理

先定一個小目標 寫exp吧

於是開始看python 看數據採集 看懂了爬蟲直到這時候才恍然大悟

明白餘弦大大的那句話 web安全就是輸入和輸出

有一個好的fuzz 其實很厲害的

於是開始造輪子

造輪子的過程中會發現 只會一個python是遠遠不夠的

要懂資料庫 要懂前端 (最起碼會寫個ajax收發吧)

感覺要學的太多

長路漫漫

其實前幾天先知白帽大會講的講出了我心中的疑惑

可以看看豬豬俠的議題 我的白帽成長之路(好像是叫這個名字)


有些東西呢是自己摸索來的比較有意思,我經歷過你現在的階段,然後我又走到了現在我的階段。

作為一個過來人,我明白你想要一條明路的迫切心情以及帶來的迷茫,所以我還是來一點乾貨吧

0x01

首先學習c語言是正確的,c語言是計算機語言的砥柱並不為過,學會了c語言並比較熟練地掌握有利於了解計算機內存的分配特別市指針,是重中之重,對內存分配有一個大概的概念隊後續的演算法優化有很大的幫助,所以,找學好c語言。

0x02

學習要c語言之後我是推薦學習python的,作為一個從事網路安全的人,python腳本必不可少,我推薦的書籍是core Python programming 2nd,裡面的知識體系比較全面,看完了這本書之後可以看看python動物書啊,python cook book之類的深入了解Python 然後就應該開始學習python爬蟲了,我推薦是Python 網路數據採集,好像是叫這個名字,入門的話挺不錯,進階的話需要掌握python的標準庫和和第三方庫,學習使用scrapy框架

0x03

好了,現在已經掌握了很基本的東西了,我們開始學習網路架構,雖然我想一上來就推薦TCP/ip三卷標準套餐,但這三本磚頭真的晦澀難懂,我推薦是看Python 核心編程第三版,裡面的網路編程不是很全面,但是大概指引了一個方向,比如一些基本的概念像套接字啊,協議家族之類的專業名詞。之後,我們開始了解有關http協議,TCP UDP協議FTP等等這些東西,看不懂書上的可以百度,作為一名滲透人員,基本的搜索能力是必備的

0x04

好了,等你學完上面的基本的入門的東西後你要開始正式的入門了,入門之前還要學習一下php 和js然後又是新一輪的看書

推薦Python 黑帽編程,餘弦大大的web前端安全,如果你很聰明是一個大神,你還可以嘗試閱讀web安全攻防第二版,裡面提供了很多攻擊和防禦的思路

0x05

以為結束了?沒有呢,作為一名滲透安全人員,kali裝逼必不可少 kali是kali linux的簡稱,是一款集合了很多安全工具的一個Debian發行版本,用了linux後簡直感覺windows簡直是一款垃圾系統好嗎,內存佔用多,運行還巨慢。那怎麼學習kali呢,你可以搜索相關的書,也可以上安全牛課堂看視頻,安全牛課堂上苑老師的kali linux滲透測試不錯,而且180多課只要599一年,真的良心,講得也很細緻

0x06

我現在就到這個階段了,所以剩下的路我還在自己摸索,希望你在準備工作上還沒放棄,用你最初的興趣和熱愛在堅持著,我很喜歡餘弦大大的那句話, 守正出奇

0x06

滲透安全,從入門到放棄 共勉


回答一下關於web攻(防), 攻擊我一直認為基本的軍火庫很重要,什麼是軍火庫就是漏洞EXP, 你現在的迷茫,只能通過你去踏實的做一些關於安全最實在的東西,慢慢你就會有感悟了。

給你推薦個軍火庫的索引: http://webscan.360.cn/vul/

選幾個軍火,自己去了解該軍火,怎麼用,怎麼會有弱點,如何找到匹配的目標,如何製作工具來提高我武器的命中率,,, 去折騰吧, 折騰幾個 有些東西自然就瞭然於心!!!

最後這些槍只是基礎,了解他們會讓你對漏洞和web攻(防)有些很實在的感覺!!!


滲透,挖洞,後門,0day,肉雞的確是黑客世界的專有名詞 樓主明確表示想入門卻不止到該從哪兒入手 但是這些都不是初學者會涉及到的詞 舉例滲透 它要有不弱的基礎然後加以鑽研 且僅滲透一項的學習就是永無止境的 所有不要開口就是滲透啊後門啊 肉雞啊什麼的 會有好高騖遠之嫌想學黑客技術先學會電腦的拆裝吧。別電腦的硬體都搞不清楚,就說自己是黑客。然後建議你先學如何防範,防範比較簡單,可以通過很多工具輔助,在這個過程中會接觸學習到很多黑客攻擊方法,和病毒木馬的不同特徵,還有網路的很多術語,這時候你就可以看看一些技術博客里的文章(我個人喜歡看危險漫步的博客: 黑客技術研究及思考,知名黑客博客 - 危險漫步:www.weixianmanbu.com)。到了這一步,你的心中就有了概念,自己已經知道自己該學什麼了


我初中對計算機開始感興趣,開始學習c語言,不說實踐,你能熟練作用一級指針,二級指針,指針數組嗎?其實我也就是個菜鳥,但不得不說,學習首先是堅持,其次,推薦你去看看任曉輝的1.0學習示意圖。


老實說,題主最起碼從編程語言開始學起,我自己折騰過好長一段時間,才發現,這些名詞,都是工程師級別才能熟悉的東西,你就專學一門語言就好。


看你的情況,你是剛玩計算機一個月,要想入玩安全還早了點。你要是真對安全感興趣,我還是建議你從編程走起,當然最佳編程學習是彙編+C,當然這個新手很難堅持學下去,所以就不推薦了。那麼就玩web的吧,推薦組合套餐html+js+css+php+mysql,當然php你也可以換成java,其實套餐裡面的每一門課都很有意思,你只需要入門就可以了,不需要很精通。當你能寫出一兩個web小應用的時候,你就可以玩web安全了,其實最好玩幾年開發再搞安全,你會得心應手很多。相信我,玩安全之前最好會玩一些開發,不然你會浪費很多時間卻搞不懂一些很簡單的問題。


根據你羅列的詞來看,你大概可能會知道什麼是腳本小子。


有沒有做滲透測試的,剛接了一個case


網路安全相關,it方向還是要興趣第一。


《Web安全從入門到放棄》


不會語言玩什麼安全?


不管做哪個領域 肯定基礎是絕對要學的啊 編程 網路 操作系統相關的知識肯定要懂 不然拿頭去玩啊 吐槽下,大三軟工 準備轉安全


網路安全


推薦閱讀:

零基礎如何自學成為hacker?
想學習黑客方面的知識,有哪些書值得推薦?
計算機專業的學生如何學滲透測試?
初一的弟弟想玩黑客,給他推薦一本什麼入門書籍比較好?
關於黑客或者 IT 歷史相關的電影有哪些?

TAG:網路安全 | 黑客Hacker | 信息安全 |