我该怎么成为当代大侠——黑客进阶指南

黑客，手持技术利刃的神秘武者。黑帽黑客用它作恶，图利走险；白帽黑客用它为善，行侠仗义。

在网上问“怎么从零学起成为一名黑客”，大概相当于在古代逢人就问“我该怎么成为一代大侠”。

如果一个新手请教大佬们这种入门级的问题，得到的答复估计是一样的敷衍——“问百度”（狗头保命）。

憨厚如我人邮君，致力于回答各类入门话题，关于黑客的“术与道”，且听我一一道来，绝不晃点~

“黑客精神”

严格来说，“黑客”这个圈内行话，代表精湛的计算机技艺，就像武功本是一种强身健体兼具搏击的技巧，只不过有太多的传说演义，将其逐渐上升到了精神层面，也就有了侠客，有了江湖。

对大部分人来说，对黑客产生向往的原因也正是因为一种“黑客精神”：

• 敢于质疑，提倡去中心化；
• 技术至上，能力至上，无关学历、年龄或地位；
• 用计算机创造美和艺术；

……

在《黑客与画家》一书中，对“黑客精神”进行了深度的解读，堪称黑客入门纲领。

《黑客与画家：硅谷创业之父Paul Graham文集》，[美] Paul Graham 著，阮一峰 译

黑客精神的真意，象征着“自由，叛逆，能力”。在你成为一名黑客之前，最应该读的就是纲领和精神。当你学会用黑客的思维方式去处理问题时，你才真正成为了一个入门者。

这本书可以传授给你：

• 黑客是如何成长的，以及他们看待世界的一些观点；
• 黑客怎样做出自己的成果，这些成果怎样对全世界产生了影响；
• 黑客的工具（编程语言）和工作方法，这是黑客的基础和核心。

就像习武之人最先学会的是：“侠之大者，为国为民。”

技术入门

习武讲究先锻炼基本招式，甚至包括纯粹打基础的马步等等……

但对于现代人来说，已经很少有人再把所有耐心留给基础知识了，这也是很多想要学习黑客技术的人还没入门就放弃了的原因。

对新手小白而言，找对门路是关键，从Python入手，是一个不错的选择。

Python语言的优点，估计你略有耳闻：简洁优雅、易上手、应用极广……人工智能、Web开发、网络爬虫、数据分析、科学计算……

Anyway，人生苦短，Python是岸。

所以，想尽快上道，推荐这本《Python黑客攻防入门》。

《Python黑客攻防入门》，[韩]赵诚文 郑暎勋 著，武传海 译

黑客攻击涉及的知识领域庞大。这本书从基础入手，帮你对黑客攻击形成基本认识，了解成为一名黑客需要学习的各种黑客攻击技术、黑客攻击学习方法。

这本书还很贴心地为你搭建了成本低廉，易学易用的测试环境。你不需另外购买实际物理设备，就可以直接查看示例代码的运行结果；每个步骤与过程讲解充分详实，通俗易懂。

其实到这里，一个黑客的入门学习已经完成了。接下来就是一个进阶学习的过程，你将走进黑客的大门，去深入肆意地探索这个瑰丽而神秘的世界……

技术进阶

既然已经步入黑客的世界，怎能满足于在门口停留？当入门技术已经运用纯熟，你需要更高的挑战。

如果可以做得更好，为什么不呢？

这样一本《黑客秘笈》，可以将你带入技术实战阶段。

《黑客秘笈 渗透测试实用指南 第3版》，[美]皮特·基姆（Peter Kim） 著，孙勇 徐太忠 译

这本书的作者是世界知名的渗透测试公司CEO，具备丰富的行业经验。知名黑客大佬余弦推荐称：务实，不啰嗦。书中涵盖大量案例，以实战为基础，力求使你迅速理解和掌握渗透测试中的技巧，做到即学即用。

当你掌握了通用技能点，就必须寻找一个主线任务。你会发现，单点突破后，更容易触类旁通，有所开窍。

单点突破

如果说你想修炼一招必杀技，那这本《黑客大揭秘》将是你的不二选择。国际知名的天马安全团队荣誉出品，数十位业内黑客大咖倾力推荐，最为全面地介绍了前沿概念“近源渗透测试”。

《黑客大揭秘：近源渗透测试》，柴坤哲 杨芸菲 王永涛 杨卿 著

无线通信的普及，给黑客技术带来新的议题，全新的攻击、全新的安全。这本书拆解的便是那些往往被忽视的安全盲点，无线网、蓝牙、摄像头、门禁……

黑客不再远隔千里，而是就在我们的身边。毕竟远程攻击面较小或目标网络安全意识较高的情况下，近源渗透往往能达到“灯下黑”的效果……

出其不意的突破纵深，一击必中，也更适用于一些生活中的场景，是刺客信条（好友面前装13）的不二选择。

啰嗦几句

关于黑客，不少人存在很深的误解。技术没有黑白之分，人却有善恶之别，应当对“黑客”的污名化 Say No！

分享和提供黑客技术知识，其目的也是为帮助提升网络安全：知其攻，后知其防。未经合法授权对他人计算机进行攻击属于非法行为！（苦口婆心）

【以下，敲黑板划重点】

《中华人民共和国网络安全法》有关“白帽子”渗透测试的要点整理：

1. 在进行渗透测试前需要取得客户授权。
2. 请在客户授权的范围和时间内进行测试。
3. 发现漏洞应尽快通知用户，不向任何第三方公布或传播漏洞。
4. 不窃取、出售、篡改用户的敏感数据。
5. 不恶意攻击服务器，不在服务器中留“后门”。
6. 不对国家关键基础设施系统实施渗透或干扰行为。
7. 不协助他人恶意攻击服务器，不提供或传播恶意攻击程序。

咳，在技术研究和非法活动之间，务必划清明确的界限！

切记，切记……