我来回答你一下吧。
先来定义一下什么是黑客。《安全手册》采访过我这一问题,我的回答是如果你在网络安全部门做渗透工作,你能做好你的本质工作,哪么你就是一个合格的黑客。哪么我们怎么去网络安全公司工作呢?不需要太复杂,你只要掌握三个黑客工具就可以了。
一、数据库注入神器:SQLMAP。
官方网址在www.sqlmap.org ,介绍是:Automatic SQL injection and database takeover tool。全面支持Oracle,MySQL,PostgreSQL,微软SQL Server,微软Access IBM DB2,SQLite,Firebird,,Sybase,SAP MaxDB,HSQLDB和Informix数据库管理系统。
该工具用python语言写的,支持跨平台运行,具有一百多个命令行参数。你会安装后,你就会了系统和python环境配置。你掌握所有的参数后,我相信你已经对最流行的数据库注入攻击有了相当深的了解了。如果想更进一步,你学下python语言,就会开发出适合自己的tamper插件。
二、web 应用程序的集成平台:burpsuite
官方网站:
https://portswigger.net/burp/。该工具用JAVA所写,主要功能是对是web进行安全测试,是程序员、黑客手里的必备工具。它太强大,超越了工具的定义,应当算是黑客对WEB进行安全测试的平台。
这款工具的教程,在百度上遍地开花,所以我不再赘述。我相信,你学会安装,你就会配置JAVA环境。你学会使用,你就会了网站的安全测试流程。你想更进一步,哪么你去学burpsuite插件编写,你又要去学JAVA编程。其实吧,你不需要学这么多,也不用学JAVA,你只要能掌握这工具的50%功能,你已经很了不起了,算是脚本小子里的高手了。
三、开源的安全漏洞检测工具:metasploit。
官方网址:
https://www.metasploit.com/。Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,提供真正的安全风险情报。这份工具相比上两个工具,庞大一些。以上两个工具都不到20mb,这款工具超过了300mb。
这款工具编程语言是ruby。它通俗一点讲就是一个漏洞集成和利用工具,当然也具备漏洞挖掘的功能。想当黑客,当然要具备渗透能力,要熟悉流行的漏洞利用;想成为黑客界的大牛,就要具备挖掘系统和软件漏洞的能力,这款工具就是你的好帮手。还是哪句话,要更掌握它,你再学习一下ruby编程。如果学不会编程或不是想学编程,哪你就要充分了解它的功能。
最后我想有人会问我,你自己都掌握这三款工具了吗?我明白告诉你,这三款工具我每款都只会它们80%的功能,会安装、会配置,会使用大部分功能,但我没有去学这里的编程知识。我只学了一点点的python、ruby,sqlmap和burpsuite的插件我也都写不了,但从事网络安全工作也没问题。所以我这样一讲,你是不是觉得有信心了呢?相信我,你能做到我文章中的60%,去北上广找份网络安全工作很轻松的。如果你想更深一步,成为高手,还得选择一门合适自己的编程语言,让你在黑客的道路上开上汽车,而不是双腿行走!
希望大家关注海阳顶端头条号,这本来也是我头条号的文章。大家关注我可以学到更多黑客知识。
