最近不知道為什麼老有人找我回答諸如「黑客怎樣入門」、「剛進入hack圈應該看什麼書」、「想當一名黑客需要多高的英語水平」。。。。等等等等這些問題。

我本人是某不知名公司的不知名滲透測試工程師（狗頭）還是闊以來回答這個問題的吧。

首先黑客怎樣入門，或者更確切的說網路安全工程師應該從哪方面開始學習，怎樣系統化的學習。說到這裡我就想起來我剛接觸滲透的時候，在我剛上高一的時候在網上認識很多狐朋狗友，裡面有一個人用html寫了一個網頁，現在想起來就是很普通的網頁。但是在當時的我看來這是一個很「了不起」的事情。我讓他教我，我朋友給我拉進了幾個滲透測試的羣然後發了一些視頻教程給我就溜了。

那時候的我就是一塊海綿，你懂我意思吧？瘋狂的陷進去了，我覺得滲透很酷，把別人網站日瞭然後把index.html改成自己的黑頁源碼加上QQ號是很刺激的一件事（對向那些我破壞過的網站說一聲對8起）。你無法想像我當時怎麼學的，那時候滲透視頻的格式還都是EXE佔據主流，並且更多的是一些會技術的人並不想錄製視頻發出去，因為這樣很有風險。我到現在都記得我看的楊凡的視頻、越南鄰國宰相的視頻等等。然而那時候能發出來的視頻都是教你如何做一個「腳本小子」。

當我成功的從小白晉級為腳本小子之後，我開始想了解一些更深層次的東西：為什麼啊D能檢測網站的注入點、為什麼啊D只能檢測asp類型的網站、手工注入的原理是什麼？我開始上網找一些資料。那個時候網上關於這方面的資源還是有的，並沒有和現在一樣被打擊的很嚴重，可是那時候的資源基本都是帶毒的！別人都喜歡說這個軟體沒有加殼報毒很正常，如果不相信可以不下載。我還是下了，後果是我家的電腦可以再一個月內重裝幾十次。

然後我學會了使用VMware（虛擬機），我在裡面裝上一個系統拍攝了快照之後就可以肆無忌憚的happy了。我知道了SQL注入，瞭解了注入的幾種類型，瞭解了注入的原理。我覺得這是一個全新的世界，借用《我是誰，沒有絕對安全的系統》裏史蒂芬對本傑明說的一句話「要是生活送了你一個檸檬，那你應該再要點兒煙與龍舌蘭。」

當我自以為瞭解了SQL注入後我開始啃食xss、CSRF等滲透手段。我慢慢地瞭解到滲透是一個很大的概念，需要學習的東西太多太多了直至我現在也只敢說精通於某些方面，全弄懂是不可能弄懂的，這輩子都弄不懂的。後來接觸面廣了之後我也意識到自己瞭解的僅僅是滄海一粟罷了。但是這並沒有摧毀我對於滲透的興趣，反而讓我更加渴望更多的知識，那個時候國內一些關於黑客的論壇也不動聲色的發展起來了。

以上的可以說是我個人的回憶也可以說是關於「黑客怎樣入門」這一問題的解答，現在網易公開課、騰訊課堂這些我那時候都沒有的資源，現在在網上隨便翻翻到處都是關於黑客的知識，如何學習、先學什麼然後學什麼。。。。。。你只需要去那些網站點點手指就行。囊中羞澀的可以看免費課程，免費的課程並不是不好，只是講的很淺但是最起碼會讓你有一個基本概念。有錢的就買付費的教程，系統化的滲透教學。多好？

然後關於看什麼書這個問題的話，我先實名制diss說看凱文米特尼克《欺騙的藝術》的人。你真的看過麼？你知道這本書講的是什麼麼？這本書的內容放到現如今真的適用麼？我先來個靈魂拷問三連擊再說。這本書我很久之前就拜讀過。在我剛看這本書的時候其實裡面的內容大部分就不適用於當今社會了，但是我仍然很喜歡這本書，因為他能給我很多思路但是你需要明白這是一本很純很純的關於社工的書，雖然有滲透的內容但也是為了社工而滲透。給新人看，新人不懂原理看這個能起什麼作用？

我實名制推薦諸葛建偉的《metasploit滲透測試魔鬼訓練營》這本書。我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！我沒有收廣告費！重要的事情需要說無數遍。

我喜歡這本書的原因是因為他是讓你帶入性的去學習滲透（重點是kali裏的一個安全漏洞檢測工具的學習），很有趣味性並且代入感超強，並且十分適合新手去學習，愛了愛了。（清華看到了記得給我打廣告費嗷，藍蓮花戰隊看到了也闊以給我打廣告費，溜了溜了）

需要多高的英語水平可以去知乎看一下學習編程需要什麼英語水平。

8更了，告辭。我還有一個方案沒寫完（sad）

推薦閱讀：