今天心血來潮給大家寫個新手到黑客入門的路徑圖【附全部學習資料下載】！

入門介紹：

說到黑客大家可能覺得很神祕，其實我們說的的黑客是白帽子黑客，就是去尋找網站、系統、軟體等漏洞並幫助廠商修復的人，剛入門的黑客大部分從事滲透工作，而滲透大部分屬於web安全方向，就是利用漏洞來取得一些資料或達到控制，讓對方程式崩潰等效果。

一些常用的名詞解釋：

挖洞的話，就相當於在程式中查詢漏洞，舉一個不大恰當但容易理解的比喻，就像韓非子說所的那個自相矛盾的故事：楚國有個人自稱自己的矛是世界上最鋒利的矛，沒有什麼盾牌它刺不破，同時又說自己的盾是世界上最堅固的盾，沒有什麼矛能刺破它，雖然兩句話在語法上並沒有什麼不妥，但卻有個致命的邏輯漏洞，因為用他的矛刺他的盾，將導致“不可預知”的結果，當然了，在程式中這種“不可預知”的結果往往會導致各種問題，崩潰或執行非預期功能都有可能，這個就是漏洞了。

再來說說後門，這個很好比喻，就像是警匪片中的臥底或者是笑傲江湖中的嶽不群，表面上做一套，背地裡做另一套。在軟體中就是這個軟體提供給你了你需要的功能，但在背後它可能偷偷摸摸地幹了一些你不想他乾的事，例如竊取你電腦上的檔案。

0day和挖洞是相關的，漏洞釋出後，廠商一般不能說馬上把漏洞填補了，那麼這段時間這個漏洞是可利用的，久而久之，我們把那些剛釋出的漏洞（或者說根本沒釋出自己偷偷用的漏洞）叫做0day，當然了，它的殺傷力較一些老的漏洞往往大的多。

肉雞的話我們可以直接理解為已經中了木馬受我們控制的傀儡計算機，我們可以控制傀儡機做一些我們不直接做的事情。Web安全必須要了解Web方面的一些基礎知識做為鋪墊的去的去學習這門技術，因為不是人人都可以直接先滲透在進行程式設計等方面學習的、所以為了更好的入門的Web安全必須要先掌握一些基礎知識，相比對逆向方面的入門Web安全真的不難，逆向要是想了解一個簡單的什麼叫jmp esp溢位需要的基礎知識不是一點點，如果是計算機專業的還好，不然通過自己去學習真的不是那麼簡單，不說太多，下面我就給大家推薦一個前期學習知識的路徑和資源連結。

進入學習階段：

首先是我給大家推薦的是前端的html/css/js + php進行學習，前端的這些都是肯定需要學習的知識，至於後端的程式語言我建議還是php，主要是因為入門學習快、目的呢就是更快的接觸到php+mysql開發，這樣前前後後的知識加起來才能在知識鏈上完整構成一個網站，這樣做的好處的就是快速瞭解一個網站如何開發，什麼是前端和後端？什麼是http？什麼是資料庫，網站的資料都儲存在哪？

當然不怕枯燥的話從C語言開始學起更佳，相比於C語言這種學習了半載一年還不一定有什麼成果的玩意，直接用工具按照教程來達到目的會容易且有趣的多，但學習C語言在很多的時候，往往能夠學習到C語言之外的東西，對程式的執行，記憶體的分配與管理，資料結構甚至是程式設計的書寫習慣，都有非常大的好處，可以說，C語言學會後再學習其它大部分的語言都會快得多。

第一部分資源連結如下：

這套PHP的教程包含了html/css/js和php+mysql保證一天看一課時的一個月就可以掌握，檔案中的“就業班”的資料夾包括了一些後續的jquery+ajax+xml等等， 在前期的學習過程中這些後續知識可以選擇性學習

下面這個連結是HTTP協議的教程來源自燕十八php教程中，我覺得這個http講解的非常好

在學習了上面教程恭喜你已經簡單的入門了Web，接下來了就是進行安全的學習，這方面我就給大家一個教程就是小迪的，剩下的網路上的教程個人覺得都不太適 合入門，除了個別的不錯，大部分都是直入主題之家講怎麼利用，不適合學習！

教程中工具連線

在學習完成以上知識後就可以在各大漏洞平臺或SRC平臺找一些目標來實際的挖洞一下，前期肯定是花大量的時間也不一定的夠挖到，所以可以加i春秋的QQ群問問群裡的管理們：533191896

兩個重要的思維導圖：

註釋：SRC是各大網際網路廠商的安全部門，負責稽核你挖掘的漏洞並提供獎勵。

挖洞時一定首要學習前期的資訊收集，俗稱：踩點

新手必看：

注：挖洞只為提交漏洞，維護網路安全，請勿做出違法行為，網路安全法規已出。

第二部分資源連結如下：

好了，在學習上面的教程中已經可以算是安全入門了，不過接下來還需要在一部進行學習

這部分是沒有什麼教程的，需要自己去百度學習，學習的內容就是2003、2008作業系統聽著很簡單對不對？

我需要大家使用以上的作業系統使用網上的已有的CMS(如:discuz,WordPress,phpcms,dedecms等)大家一個站點，從在伺服器上安裝和配置php+apache+mysql等環 境開始，不要使用整合工具偷懶，去體會一個網站的搭建流程，知道是什麼ftp，什麼是空間，在網上買的虛擬主機和伺服器，vps是個什麼區別？什麼是CMS目標站點？

我建議是自行在空間商購買一個伺服器，價格一個月在100以內就可以了！

注：如果是不能購買那麼請學習安裝虛擬機器本地使用映象搭建伺服器環境

以上的內容的最好通過百度自己完成，這些小問題都是百度都可以解決，要學會使用百度，不要什麼問題都去問別人！！！

接下來肯定是一部分的linux知識學習了

是一個線上的教程

接著可以學習一門可以方便我們寫exploit利用工具的程式語言，首選肯定是python 優點：入門快，網路程式設計擁有強大的各種庫做支援，更易編寫工具

一套的簡易的線上教程，來自於中谷python，學習完畢後寫一些簡單的GET/POST型工具練練手不是問題

注：第二部分的同樣的很重要，瞭解網站的搭建構成，什麼是CMS，對滲透很有幫助，現在大多數的網站基本上都是使用的CMS建站，因為安全，方便，模板樣式也多，通常在滲透過程中我們對目標的資訊收集就要著重關注這些程式的版本是不是最新的？如果不是有沒有漏洞呢？

第三部分資源連結如下：

這部分是一大塊，我不打算在細分了，之前的內容幾個月就可以完成，下面的內容能1年內完成都可以說是很不錯的！

這部分我認為應該需要掌握TCP/IP原理以及進一步的提升程式設計技術。

教主的TCP/IP教程

傳智的前端的教程，非常推薦學習！

傳智的的Java教程，選擇性學習，如果感興趣Java的可以學習。如果不學習也可以看看裡面的oracle資料庫教程！

有兩套Python的教程，都是系統的pythonWeb開發，選擇一套學習即可

完成基礎的姿勢學習後，一定要多看看其他白帽黑客的實戰思路，對你的實踐是非常有幫助的，知識是死的，思路是活的。

挖洞小幫手：

進階瞭解/學習：

社會工程學也是必不可少的一項技能：

資源不夠的話可以去這裡搜一下

結語：

其實在接觸了Web安全1年之後大家都自己也能知道自己以後的學習目標，第三部分主要還是推薦些好的資源！

學習過程中，尤其是前期學習千萬不要放棄，三天兩頭的進行學習，同時學習的過程中要記錄圖文並茂的筆試，最重要的進行實踐，實踐，實踐！

在實踐中發現問題，解決問題！安全非一朝一夕之事。

注：解密密碼請看壓縮包註釋

【解壓密碼直接放出來吧：複製這個網址貼上解密，www.lthack.com/php 非廣告，無用的網址。】

最後的最後，這麼多幹貨學習資源，別光顧著收藏啊，點個贊+關注合情合理吧