名詞解釋 ——

白帽子：描述的是正面的黑客,他可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞。這樣，系統(tǒng)將可以在被其他人(例如黑帽子)利用之前來(lái)修補(bǔ)漏洞；以上解釋來(lái)自百度百科。

而我今天要說(shuō)的白帽子是指公司或機(jī)構(gòu)內(nèi)專門負(fù)責(zé)WEB安全方面的工程師，簡(jiǎn)稱白帽子。

眾所周知，隨著新聞不斷的爆出用戶系統(tǒng)數(shù)據(jù)泄露事件，越來(lái)越多的公司和機(jī)構(gòu)開始重視網(wǎng)絡(luò)安全，大公司紛紛為這個(gè)工作設(shè)置了專門的職位。越來(lái)越多的人開始關(guān)注WEB安全方面的信息和知識(shí)。

那么，對(duì)于剛畢業(yè)無(wú)任何工作經(jīng)驗(yàn)的大學(xué)生或是無(wú)相關(guān)Web安全知識(shí)想要轉(zhuǎn)行的菜鳥們來(lái)說(shuō)，能否自學(xué)成為一名合格的白帽子工程師呢？

通過(guò)咨詢?cè)诖诵袠I(yè)打拼了幾年的老人，以及相關(guān)IT培訓(xùn)機(jī)構(gòu)的老師們，總結(jié)出了以下幾點(diǎn)，供大家自行決定是否采用。

1. 純0基礎(chǔ)的人想要入行，從Web安全入門，理解SQL注入和XSS這兩大類漏洞原理，可以看一些參考書籍，書籍名字可以自行網(wǎng)上搜索，找那些購(gòu)買量和推薦量高，試讀的時(shí)候自己讀的下去的即可。

2. 死磕烏云，每天過(guò)一遍新公開漏洞，看思路，記關(guān)鍵點(diǎn)，看烏云知識(shí)庫(kù)內(nèi)基礎(chǔ)內(nèi)容?？梢韵汝P(guān)注某一細(xì)分領(lǐng)域，關(guān)注烏云上此類內(nèi)容，看標(biāo)題猜詳細(xì)漏洞內(nèi)容，漏洞公開后看與自己想法是否正確，熟悉后換下一細(xì)分領(lǐng)域，以此進(jìn)行。

3. 思想掌握后，開始熟悉HTML和JS，上網(wǎng)養(yǎng)成多按F12的習(xí)慣，多玩Console。

4. 學(xué)點(diǎn)編程語(yǔ)言，可選擇的有PHP和Python(Py2)，第一選PHP，因?yàn)镻HP環(huán)境最好打，網(wǎng)站最多，入門最快。其次是Python，因?yàn)楣ぞ叨际怯盟鼘懙摹?/p>

5. 學(xué)會(huì)兩個(gè)工具SOLmap和BurpSuite。

以上，Web方面的漏洞則基本夠用了。

如果學(xué)到編程語(yǔ)言時(shí)遇到障礙，可以多參考網(wǎng)上的付費(fèi)精品視頻，或是選擇線下培訓(xùn)班去學(xué)習(xí)，切記：代碼是一個(gè)勤快的活計(jì)，多看不管用，一定要手動(dòng)多敲幾遍。

上述都掌握后，還需多關(guān)注最新爆發(fā)的漏洞，看完原理，自己寫EXP，能針對(duì)性的了解到各種CMS和系統(tǒng)的脆弱性，可以針對(duì)性的寫出利用工具。那么，你就已經(jīng)離一名合格的白帽子不遠(yuǎn)了。