随着电脑的普及，黑客人物逐渐被人们所熟知，黑客在网络编程方面有很深的功底。人们对黑客的认知，从开始时的“高深莫测”，到如今的佩服，在大家伙眼中，黑客跟天才直接“挂钩”。黑客也分善恶，恶意入侵搞破坏的黑客是让人厌恶和害怕的，所以在这里我们建议值友们善意使用黑客技术，可能利用黑客技术找出系统中存在的漏洞并修复，实现自己的梦想，乘风破浪、所向披靡。写在前面SecuritytubeSecuritytube内有着丰富的视频资源教程，这里的视频种类非常全，就黑客技术的起步培训到后期的安全基础和测试方面，这些资源全部进行了覆盖。站内的视频资源由行业内的人士提供，成熟的操控视频，让我们的学习更加轻松。该网站最主要的三大功能：安全培训、渗透测试教程、项目讨论。点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》Cybrary这个安全站点，为我们提供了由领域内专业人士提供的培训材料和应用资源，可以使我们这些小白按步就班接触黑客的课程，从小白逐步变身为数强大的“黑客”，使我们有更多的知识来对使用网络和环境进行测试。点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》这里有着庞大的社区进行支持，而这也确保有着海量资源的供应，同时在这里，可以将自己不懂得问题提出来，自然会有领域大神来为您解惑，而这如同老师的讲解一般，清晰明了。这里的资源更新非常快，每日都有新的资源更新，而这也使我们可以在一个较为新鲜、充满活力的环境中进行学习。Hack This Site我们学习都想寻找一个教学质量高的学校，而对于我们黑客技术的学习来讲，相信很多人也抱着也是这样的想法。这里为我们提供了高质量资源以供我们使用，例如资源中对操控时的探索与守护，在这里可以有着更好的了解。这里有着海量的黑客前辈的“日记”，在这里可以从黑客前辈的交流中，我们这些小白就可以学习到很多有用的东西，毕竟师傅领进门，修行在个人。[在这里我们可以就所学的黑客技术来进行练飞，而这也使我们这些初学者有着一个锻炼的过程，毕竟成长需要一定的历练。Hackingtutorials黑客大神们的交流也需要一个群聚的场所，而这里就是这么一个地方。点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》这里收集了数百个黑客前辈的资源以供我们学习，同时这里有着第量的网络安全教程、电子书和黑客工具，在这里可以轻松找到。Exploit Database数据库可以说是非常重要的，不管是数据库的坚守还是探索，这里的数据往往决定着系统或网站的稳定性，在这里我们可以了解更多关于漏洞的修补的网络如何避免被冲击。这里有着海量学习杂志可供下载，而这些杂志中，更是有着近十多年海量的资源教程。Hellbound Hackers在学习过程中，实践是不能避免的，在这里，为我们提供了各种样式的安全实践方法，这里教我们如何对进行有效防护和对应代码漏洞补丁的制作。人们称这里是最大的黑客社区之一，也许是因为这里有着10万+用户的注册量吧。HackingLoops这个博客网站比较适合初级水平的黑客，这里有着很多实用的工具和操控经验分享。点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》在这里，我们可以进行渗透测试、实践、防守、探索等等，这里是黑客小白成长的摇篮之一。Happyboss该网站专注于安全和道德黑客，实际上由四个主要的子域名组成，每个子域名都有一个特定的目的，即为世界各地的黑客服务。这个流行的博客提供涵盖所有主要行业的安全新闻，实际上这个网站不能算是真正学习黑客技术的地方，而是一个每日获取最新黑客新闻的途径。}

早期的互联网非常的单调，一般只有静态页面，现在，随着技术的发展，web上大多数站点实际上是web应用程序，在服务器和浏览器之间进行双向的信息传递。他们支持注册登录，金融交易，搜索及用户创作的内容。用户只需要拥有一个浏览器，就能实现各种功能。
Web 是指一个网站的前端页面到后端服务，比如我们常见的 Javascript、PHP、Python、Mysql、jQuery、Docker 等，包括开发、运维这些服务。
所以在我看来 Web 安全也就是从安全的角度探索 Web 的一种方式。
为了能够更简单的理解一些常见漏洞，我们首先来看一下这份试卷：
试卷 考生姓名：__________ 考生学号：__________
一、诗歌补写 床前没月光，___________。 春眠不觉晓，___________。
二、数学运算（在括号内填入数字） 3 500 +400 * 3 / 2 + 1 = （ ） 4 ( 1 + 2) / 3 * 400 +500 = （ ）考生姓名：__________考生学号：__________首先我们来看这个，试卷的名字和编号填写，这个部分有“漏洞”吗？有学生的姓名和编号都写在这儿，没有做任何保护措施，因此，你只要偷看了某人的试卷上的这部分内容，然后把你的试卷的上的姓名和考生编码写成和他一样的即可伪装出他的身份。漏洞攻击成功
一、诗歌补写 床前没月光，___________。 春眠不觉晓，___________。这道题有漏洞吗？有这道题的答案本来应该是“疑似地上霜”和“处处闻啼鸟”But，问题中，并没有规定答案里不能添加标点符号，所以，我完全可以把“疑是地上霜，举头望明月，低头思故乡”以及“处处闻啼鸟，夜来风雨声，花落知多少”当做答案写进去。漏洞再次进攻成功：P二、数学运算（在括号内填入数字）3 500 +400 * 3 / 2 + 1 = （ ）4 ( 1 + 2) / 3 * 400 +500 = （ ）这个问题有漏洞吗？有出题者规定了只能填入数字，但却没有说是什么数字，也没有规定多少位，那么我的答案可以是 中文数字「壹佰壹拾圆」、罗马数字「MCI」或「0000000000001101」。漏洞第三次进攻成功 XXD
这份试卷简单的模拟了Web漏洞的攻击思想，在实际中，我们打开一个网页提交登录或者是搜索都会经过服务器做的一系列处理又回到浏览器，在这个过程中我们提交的数据会被带入到一系列的填空题中，有的是我们能猜到的，有的则是意想不到的，有的会经过SQL查询进行填空，有的会被带入到命令行中进行执行，最后又把结果返回给浏览器进行填空，也就是最后我们看到的结果。在数据的传输中，我们可以把 web 简单的分为几个层次： 浏览器：浏览器即客户端，提供客户端和服务器端的数据信息交互。http：客户端与web服务器进行交互时就存在web请求，这种请求都基于统一的应用层协议——HTTP协议来交互数据。http属于轻量级协议，无需连接，提供了对通信错误的容错性。中间件：中间件是位于平台（硬件和操作系统）和应用之间的通用服务Server容器：Server容器负责解析用户请求和脚本语言，类似的有Tomcat，JBoss等。我们访问网页看到是web容器处理后的内容。数据库：动态页面可提供交互式的信息查询服务，主要依赖于web数据库的实现，对外提供包含 表单的Web页面作为访问接口，查询结果也以包含数据列表的Web页面形式返回给用户。当然除了这些数据也有可能流向不些不可见的第三方服务商。
下图就展示了数据的传输流程，以及不同阶段经常出现的漏洞及其原因:我们常见的Web漏洞类型主要有SQL注入、XSS、远程命令执行以及越权等。以下我们分别用举例的形式为大家介绍这几种漏洞。
（SQL注入）所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。select * from username = ____ and password=_____select * from username
"test" or ""="" and password="123456"（XSS）XSS则是攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。<p style='color:red'>你好啊，尊敬的______<p><p style='color:red'>你好啊，尊敬的 xxx<script>alert(1)</script><p>(远程命令执行)而远程命令执行，是用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致执行命令。ping
_______ ping www.baidu.com & wget xxxxxxxxxxx（越权）越权漏洞是比较常见的漏洞类型，越权漏洞可以理解为，一个正常的用户A通常只能够对自己的一些信息进行增删改查，但是由于程序员的一时疏忽 ，对信息进行增删改查的时候没有进行一个判断，判断所需要操作的信息是否属于对应的用户，可以导致用户A可以操作其他人的信息。Cookie: uid=11426;Cookie: uid=1;关于越权，就像我们刚刚试卷体中的姓名部分。再展示一个数据的传输流程图，以便直观清晰的看到，数据在各层中是怎样运作的，以及可能发生的漏洞：了解了这几个漏洞之后我们可以看到原理都有些类似，也很简单，当然我们只要不再局限于概念名词就会发现
web 安全的大部分漏洞都很简单。更多时候，发现一个复杂的漏洞需要是只是耐心。
概念，不是一个神圣的东西，概念很多时候只是bullshit。很多概念的产生是因为需要认识和概括某种存在着的现象而不得已产生的，概念也许是必须的但并不是必然如此的。
换句话说，概念仅可以被看做是一种努力尝试描述后的结果之一。或者也可以说概念是提出这个概念的人自嗨的产物，跟其他人关系不大。甚至，有些概念是‘别有用心’的发明来合理化某种其实不必合理化但是存在的现象。
所以不要把自己拘泥于一个这样的概念中来思考所面临问题的实质。把概念忘了，你才可能看清楚你和事物本身的关系。完全没有基础我该从哪下手？
完全没有基础学习 Web 安全是件比较难的事情，所以我给出的最小的方案和最少的建议。工具尝试学习以下这些免费资料《新手入门|穿越赛博》：知识盒子 新手入门|穿越赛博：常见安全工具安装与使用，视频教学，截图验证，适合网络安全入门 《主题进阶|前端黑客》：知识盒子 前端迷雾：常见web前端安全漏洞，简单易懂，在线靶场练习，视频演示，通过学习掌握基础前端安全思路 《暗夜契约|Python黑客》：知识盒子 python黑客: 内容涵盖流量分析，Flask模板注入等常见python安全基础与工具开发，需要有一定python基础，内容具有一定学习深度。 《资产探测与主机安全》：知识盒子 资产探测与主机安全：censys、fofa、NSE、Hydra等实用工具教学，体系化学习资产探测，高效辅助漏洞挖掘先用 AWVS 扫几个测试网站大体了解一下http://testphp.vulnweb.com/ http://testhtml5.vulnweb.com http://testasp.vulnweb.com http://testaspnet.vulnweb.com把扫到的漏洞复现，了解怎么利用，主要了解：XSS、SQL 注入、远程代码执行书籍《细说 PHP》使用 PHP 写一个列目录的脚本，可以通过参数列出任意目录的列表使用 PHP 抓取一个网页的内容并输出使用 PHP 抓取一个网页的内容并写入到Mysql数据库再输出手工找 http://testphp.vulnweb.com/ 的漏洞，对比 AWVS 的结果书籍《黑客攻防---web安全实战详解》和《安全之路：Web渗透技术及实战案例解析（第2版）》还是看不懂就找自己能看得进的 Web 安全的书探索资源，我在研究和学习的过程中更加好的资源和工具来帮助我们成长和解决问题？
平时我们安装一个mysql，要先到处找安装包，再一步步配置，运行，还不知道装哪了，开机就自动启动了。用了 docker 后再也没这个烦恼了，一行命令，或者是在Kitematic界面上点一下就运行。Github https://www.github.com 搜索 awesome-xxx举例https://github.com/enaqx/awesome-pentesthttps://github.com/alebcay/awesome-shellhttps://github.com/search?utf8=%E2%9C%93&q=awesome-找到大牛的 github 看 stars，也就是收藏的项目https://github.com/flankerhqd?tab=stars 移动安全https://github.com/orangetw?tab=stars WEB 安全、CTFhttps://github.com/EtherDream?tab=stars 前端安全https://github.com/l3m0n?tab=stars 渗透测试、内网安全https://github.com/ring04h?tab=stars 安全开发探索频道 https://github.com/explore 主要是一些有趣的新潮的项目当然也有安全相关的啦 https://github.com/showcases/security趋势 https://github.com/trending/developers善用收藏Docker hub https://hub.docker.com/ ，用于查找已经封装好的环境，减少装环境带来的麻烦举例：数据库 Mysql https://hub.docker.com/_/mysql/ 一句话安装运行：docker run -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:latestXSS攻击平台BeeF https://hub.docker.com/r/janes/beef/ 一句话安装运行：docker run --rm -p 3000:3000 janes/beefKali 渗透测试 Linux 系统 https://hub.docker.com/r/kalilinux/kali-linux-docker/漏洞靶场 https://hub.docker.com/r/citizenstig/dvwa/ 一句话安装运行：docker run -d -p 80:80 citizenstig/dvwaNmap https://hub.docker.com/r/uzyexe/nmap/ 一句话安装运行：docker run --rm uzyexe/nmap -p 80 http://example.com搜索通用漏洞靶场，关键字：cve-安全相关的 Paperhttp://paper.seebug.org/http://bobao.360.cn/learning/index乌云 Drops 文章在线浏览http://wiki.ioin.in/挖漏洞应该是一件快乐的事情，当你把挖漏洞的目的从单纯的挣钱和声望再丰富一些，你会发现收益的重要性可能远小于心情愉快。慢慢的变成一种良性循环，让你走的更远。天空才是你的尽头，呵呵嗒 ^_^今天的内容就分享到这里,希望对你有所帮助。二向箔安全推出了网络安全入门系列的主题技能包需要的朋友可以领，现在没设置收费《资产探测与主机安全》：知识盒子
资产探测与主机安全：censys、fofa、NSE、Hydra等实用工具教学，体系化学习资产探测，高效辅助漏洞挖掘《CTF实战特训课程》：知识盒子
CTF实战特训课程：典型套路、题目详解、代码审计、赛事讲解《新手入门|穿越赛博》：知识盒子
新手入门|穿越赛博：常见安全工具安装与使用，视频教学，截图验证，适合网络安全入门《主题进阶|前端黑客》：知识盒子
前端迷雾：常见web前端安全漏洞，简单易懂，在线靶场练习，视频演示，通过学习掌握基础前端安全思路《暗夜契约|Python黑客》：知识盒子
python黑客: 内容涵盖流量分析，Flask模板注入等常见python安全基础与工具开发，需要有一定python基础，内容具有一定学习深度。前面那几个回答都太过笼统了，我来具体的回答一下吧。首先你说你想成为黑客，这个词额，比较敏感，你以后还是称其为网站安全测试工程师之类的至少不怎么露骨吧。黑客的专业有很多，看下面的结构图专业有很多，其实你没必要一开始就样样精通，主修一个，其他的都尽量去了解，至少别人跟你说的时候不要不知道那个类别就行了。就像我，主修的是web安全，其他的逆向之类的大体都会一些。具体的等碰到的时候，再现查书，先学习就行，用从实践中来，但理论也不可不知。下面再给你上一张书单最重要的其实是编程(当你踏上这条路就知道了)必须学一门语言可以是c，c＋＋，java之类的，必须要懂Python，注意是懂，你可以不会写出完整的程序，但你必须要知道别人的代码怎么用，最次也要看懂。接下来就打看你的目标了，如果你就是想靠这个找工作的话，我推荐你去参加ctf(自己去百度)百度永远是最重要的，你如果能有个ctf证书，那绝对胜过很多其他的证书，而且ctf还比较全面基本都涵盖了。如果你是业余爱好的话，我推荐你就去一些网站学习像i春秋之类的，剩下的等我有空再补吧。}

这题岂不是为我量身定制的，作为一个 B 站的深度 Java 用户，我太有发言权了！这不，正在拿笔记本刷小姐姐的视频呢。每次“寂寞”的时候，就打开 B 站听听小姐姐温柔的声音，瞬间心里就暖和多了！嘘，别笑出声。先来看我整理的这套 Java 视频的思维导图吧，绝壁都是最好的。很多答案里只会罗列一大堆视频，但却从来不告诉你观看的前后顺序，没有体系，看起来难受的一笔。这下好了，我整理的这套体系从入门到“精通”，注意我的双引号哈，都是非常幼稚的 Java 视频，非常值得刷。如果你是大学生的话，每天空闲的时间一大把，就可以按照顺序刷。如果你已经参加工作，时间比较紧张，可以按照思维导图挑选自己需要补的内容哟。对了，如果是初次学 Java 的话，可以先学一学 C语言，推荐翁凯教授的。有了 C语言作为入门，再学习 Java 就会轻松多了！毕竟 C语言是 Java 的母胎。接下来，就开始正式进入 Java 语言的大门吧。1）入门篇。我推荐尚硅谷的 Java 零基础教程，虽然 UP 主是一家培训机构，但这并不妨碍这个视频的质量。翁恺教授的 Java 程序设计也是一个很不错的选择，我个人非常喜欢翁恺教授的授课风格。不过，B 站上的视频是搬运的，UP 主可以不关注了，嘿嘿。2）工具篇。工欲善其事必先利其器，掌握了下面这些工具，学习起来其他的内容也会更加顺手，不用瞎折腾。Intellij IDEA，编写 Java 程序的最佳 IDE，必须得掌握。UP 主还是尚硅谷这家培训机构，他家的视频是真的多，但白嫖他，我喜欢，哈哈。接下来是 Maven，可以帮助我们解决 jar 包的烦恼。UP 主还是尚硅谷这家培训机构。然后是 Git，工作中是必须掌握的。UP 主是遇见狂神说，推荐大家关注下，我个人觉得非常好的一个 UP 主。当然了，狂神最近在视频里狂推他的公众号，有点把名声搞坏的节奏。有人说，他的视频是尚硅谷的压缩版，好像还真有那么一点——哈哈。3）数据库篇。学习一门编程语言，如果不去操作下数据，就感觉这门编程语言空有皮囊却没有灵魂，对吧？要想学好数据，首先要学习一下 SQL，我推荐一个老外的视频课（中字版啦），内容制作得非常棒，所以完全不用担心听不懂。视频是搬运的，UP 主辛苦了。然后再学习一下市场占有率非常高的 MySQL，视频我推荐尚硅谷的，女老师讲的。不得不承认，老师讲得很精彩，嗯，弹幕里也很精彩。目前大多数公司的存储都是 MySQL + Redis，MySQL 作为主要的存储方式，Redis 作为缓存，用来加快热点数据的读写速度，从而提高性能。所以学完 MySQL，可以趁热打铁学一下 Redis，也可以放到后面学。UP 主是遇见狂神说，狂神出的视频也非常多，质量都还不错。4）框架篇。首先是 SSM（Spring+SpringMVC+MyBatis，企业级应用的必须品）的整合教程，哪怕是已经有了 Spring Boot，SSM 仍然是必学的，能打下更坚实的基础。继续尚硅谷，不得不佩服这家培训机构，眼光还是很长远的，很早就把这些视频公布出来占领了 B 站，很有远见。单学 Spring 的话，尚硅谷也提供了。还有狂神说的 Spring。然后是 SpringMVC，我先推荐自家兄弟的，江南一点雨，很有潜力的一个新 UP，推荐大家关注下，后面还会推出很多新的视频。狂神说的 SpringMVC。江南一点雨的 MyBatis。狂神说的 MyBatis。学完 SSM，自然就少不了要学 SpringBoot，推荐狂神说的 Spring Boot 吧，我也很喜欢，播放量也挺大。最后是 SpringCloud，狂神说这也有。看完上面这 4 部分的视频，可以说你已经是一名合格的 Java 工程师了，CURD 不在话下，手到擒来。5）JVM 篇。尚硅谷的这套视频课程分为《内存与垃圾回收篇》《字节码与类的加载篇》《性能监控与调优篇》三个篇章，如果你能顺利学完的话，可以说 Java 虚拟机方面已经是有点小心得了。6）源码篇。图灵学院的一个视频还是不错的，共 32 小节，有 Spring、Java 线程池、MyBatis、Dubbo、Tomcat 等等，虽然视频是搬运的，但还是值得看一下的（UP 主就可以不用关注了）。还有鲁班教育的一个关于 Spring 全家桶的。又是一家培训机构，继续白嫖不关注也行，哈哈。7）数据结构与算法。无论什么时候，程序=数据结构+算法这种说法都是成立的。浙江大学的一个的课还是挺不错的（我推荐过很多次了），很系统很经典，适合小白入门。视频仍然是搬运的哈，UP 主辛苦了。还有一个罗召勇老师的，共 67 小节，纯 Java 版的。这个不确定是不是搬运的，但还是要说一声 UP 主辛苦了。8）操作系统。为什么要学习操作系统呢？第一，面试要考；第二，无论学习哪门子编程语言，比如说 Java、C/C++，还是 D++（走错片场了），都需要和操作系统打交道，像 Java 中的多线程技术，其实是由操作系统来负责进程和线程管理的；第三，学习操作系统，还能学到内存分配方面的知识。我推荐清华大学的《操作系统》课。视频是搬运的，UP 主辛苦了。9）计算机组成原理。众所周知，计算机是由 CPU、内存、显示器这些设备组成的硬件，但我们大学毕业后，往往从事的是软件方面的开发工作。那怎样才能在硬件和软件之间自由穿梭呢？答案就是学好计算机组成原理。弄明白了计算机的组成原理，也就对整个软件开发有了一个系统的认知，不论是计算机的硬件原理，还是软件架构，都能很好的驾驭，随之而来的，我们的职业发展机会也就更多了。如果想深入学习计算机组成原理的话，我推荐哈工大的这门视频课，整体评价非常高。视频是搬运的，UP 主辛苦了。10）计算机网络。当今这个时代，没有网络简直无法生存，哪怕是在电梯里的一分钟，我都受不了那种手机没有网络的状态。我们所学的编程知识，如果脱离了网络，将变得毫无意义，因为没有哪个编程语言是要在单机环境下运行的。计算机网络方面的视频我推荐湖科大教书匠的《计算机网络微课堂》，制作得非常用心，是一部不可多得的佳作。UP 主是湖科大教书匠，可以关注下哈，支持原创视频的作者。11）设计模式。我认为设计模式是初中级程序员迈向高级程序员的必经之路。有不少程序员，前期冲劲十足，但后继乏力，都是吃了设计模式的亏。在工作的前几年，大部分程序员都处于熟悉编程语言的阶段，也就是处于“技”的阶段，随后就要进入“术”的阶段了。在编程领域，“术”的典型代表就是“设计模式”。视频推荐韩顺平老师的，面向 Java 程序员的。同样来自尚硅谷，厉害了厉害了，真的是什么都有呀。这一套 Java 视频整下来，可以说不秃也变强了！视频在精不在多，在循序渐进不在疯狂列表，和书是一样的，如果你看到的是一大堆视频列表，我怀疑你和我一样，眼睛是懵逼的，脑子是懵逼的，根本就无从下手。最后，简单说一下刷视频的心得吧。第一，一定要做好笔记。好记性不如烂笔头，很多知识点，你可能以为自己懂了，但可能压根没懂，记笔记就能检测是否真的掌握了。第二，一定要做练习，并且把视频中出现的代码都敲一下，保存到 GitHub 的私有库里面，并做好文档说明，该暂停的时候一定要暂停，停下来，去思考一下。第三，刷视频要时快时慢，有些需要1.25 倍速食用，有些需要 0.75 倍速，该快的快，省时间，该慢的时候慢，确保自己吸收了。第四，尽量不要被弹幕吸引走了眼球，要把注意力放到视频本身上。第五，一定要在大脑放松的时候去刷视频，不然没效果。如果你要去面试参加工作的话，可以趁机刷一刷算法题和面试题，尤其是在金三银四这个季节。算法题我推荐 labuladong 的算法小抄。面试题的话我推荐 JavaGuide 的面试突击。对于操作系统、计算机组成原理、计算机网络、设计模式，一定要放到 Java 入门后再去刷，不然可能会劝退。通过做出一些东西后，给自己信心后再去深入，我觉得是更好的方式。如果觉得内容有帮助，请点赞哟，记得同时关注下我 @沉默王二 ~笔芯~}