黑客的技术都是自学的吗？

关于问题黑客的技术都是自学的吗？一共有 5 位热心网友为你解答:

【1】、来自网友【这世界没有真理】的最佳回答：

大部分厉害的黑客都是自学，因为黑客技术需要很强的创造力和研究精神，这些需要兴趣作为驱动力。而且黑客本身就业空间有限，正规教育没法起规模，也不被允许。

【2】、来自网友【镁客网】的最佳回答：

说到黑客，必须要拿出我一初中同学来说

，初中那会班里有一个特奇葩的同学，关键是这货奇葩的地方和一般人还不一样，他长相一般但迷之自信，天天穿着洞洞鞋叼着棒棒糖，从外表看绝对是屌丝本尊无疑了，

每天都捧着一本很大很厚的书，我曾经翻开看过，上面全都是密密麻麻的数字和字母。

让我对他从鄙视转变到崇拜是在初二即将升初三的时候，初二的一个炎热的夏天，和大多数学校一样，即使再热也阻挡不了学校让我们跑操做操的决心，我们在老师的催促下打闹着往楼下跑，他因为作业没写，被老师留在办公室等着我们做完操回来批评，我们排好队之后，我抬头看着天，白花花的很刺眼，突然看见站在窗口的他，露出极其开心的笑容，enmmm…说实话，当时突然更鄙视他了。

从那天之后接下来发生的一系列事情，直到现在想起来，我都觉得那特么简直就是一场梦，学校做操的铃声都是自动播放，按照时间，应该在 10 点整响起来，但是十点五分了还是没有任何动静，教导主任气鼓鼓的瞪了广播处好几眼，然后自己走进广播室，刚走进去广播就响了。

“第三套全国小学生广播体操，七彩阳光现在开始…” 小学生？？？！所有人都愣了一下，还没反应过来，

广播里突然响起了鸡叫，一声接一声经久不息，随后传来了教导主任愤怒的骂声，我们一脸懵逼的呆了很久，憋笑憋到脸抽筋。

最后经过学校领导多次调整，终于在离上课还有三分钟的时候调好了，回班之后，他一脸自豪的从讲台上走过，冲我们甩了甩手上的诺基亚，当时没有人想到是他做的，反而因为他带手机又被班长告到老师那里去，真正让我们对他改变态度是期末考试，

期末考试前一天晚上，他突然在群里发了几个文档，点开一看全都是期末试卷，网络的传播速度贼快，第二天几乎全年级人人手里都有一份试卷，期末考试当然是作废了，我们年级作为唯一一个开学来了再考试的年级提前放假回家了。

本来以为开学再也见不到他，没有处分是不可能的，而我们学校管的又很严，这种事肯定不会轻易放过，但是开学第一天依然看见他穿着洞洞鞋来了，

毕业后才听说是学校和他达成了协议，可以不开除，但是要帮学校处理系统漏洞

，初三时那个脾气暴躁的教导主任突然被炒鱿鱼了，有传闻说是他发现教导主任浑水摸鱼私挪学校公费，然后举报了，严查之下才发现教导主任已经悄无声息的做了一年多了，现在已经过去了这么多年，不知道他是不是早已成为一个真正的黑客，但当时他的技术，即使放在现在也比的过很多自称是电脑高手的人。

黑客的技术百分之九十只能靠自学，计算机专业的学校也只会教基础的知识，当然，还需要一个聪明的脑袋和坚持不懈的心

，那个同学虽然从来不写作业，但是成绩一直非常好，不管什么时候什么科目被叫上黑板解题都可以迎刃而解。

【3】、来自网友【抖抖代码】的最佳回答：

是的，50%以上的黑客是自学成才的

HackerOne 有一个统计（美国著名的漏洞众测公司，它汇集众多的黑客(白帽子)，一起为企业找漏洞，以获取漏洞赏金为生），超过 50％的黑客是因为兴趣自学的。

25％的黑客是大学生，大多数人是年轻人，他们有时间，有兴趣，有激情

自 2014 年以来，信息安全已经成为各大高校热门专业，就业岗位也飞速增长.目前信息安全是在伴随互联网发展最快的行业，各大企业(腾讯、阿里、字节流动、百度等）都有自己的安全团队。

黑客（骇客）也是有分类的，并非所有的黑客都是一样的，根据黑客的攻击渗透目的，一般分为：

黑帽黑客：为了个人利益，不遵守任何法律，他们的渗透目的非常明确，就是为了利益，一般会涉及数据盗窃，非法交易，恶意软件注入等

白帽黑客：正义守护者，获得授权后（或在不破坏系统数据的前提下）尝试找出系统中的漏洞，并将漏洞告诉厂商，帮助厂商提高系统的安全性。

灰帽子黑客：介于黑帽和白帽之间，不喜欢受约束，独来独往，他们可能会悄悄地入侵系统，获得成就感，也有可能会把入侵过程通知厂商，帮助厂商修复漏洞。

脚本小子：那些利用已有工具进行系统扫描的黑客，通过工具识别漏洞

【4】、来自网友【网络安全菜鸟】的最佳回答：

首先，自学成才的都是大佬，也不是所有人都能自学成才的。你得根据你自己的情况，如果你是对网安很感兴趣，然后是那种想干，就会立马执行的那种人，是会坚持下去的。这种人自学就很容易自学成功。要是是那种装环境装几天，就放弃了，后面学起来觉得难就放弃了，学着学着放弃了，这种你学几年还是初学者。

网安的话，现在比较注重技术的，然后 web 安全和渗透测试目前是主流。

完整的 web 安全工程师学习路线 01、HTTP 基础只有搞明白 Web 是什么，我们才能对 Web 安全进行深入研究，所以你必须了解 HTTP，了解了 HTTP，你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”，特殊数据在

数据流

的每个层处理，如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。关于 HTTP，你必须要弄明白以下知识：HTTP/HTTPS 特点、工作流程 HTTP 协议（请求篇、响应篇）了解 HTML、JavascriptGet/Post 区别 Cookie/Session 是什么？02、了解如下专业术语的意思 Webshell、菜刀、0day、SQL 注入、上传漏洞、XSS、CSRF、一句话木马、….03、专业黑客工具使用熟悉如何渗透测试安全工具，掌握这些工具能大大提高你在工作的中的效率。Vmware 安装 Windows/

kali 虚拟机

安装 Phpstudy、LAMP 环境搭建

漏洞靶场

Java、Python 环境安装

子域名

工具 Sublist3r、Sqlmap、Burpsuite、Nmap、W3af、Nessus、Appscan、AWVS04、XSS 要研究 XSS 首先了解同源策略，Javascript 也要好好学习一下，以及 HTML 实体 HTML 实体的 10 或 16 进制还有 Javascript 的

8 进制

和 16 进制编码，最终掌握以下几种类型的 XSS：反射型 XSS：可用于钓鱼、引流、配合其他漏洞，如 CSRF 等。存储型 XSS：攻击范围广，流量传播大，可配合其他漏洞。DOM 型 XSS：配合，长度大小不受限制。05、SQL 注入所谓 SQL 注入，就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。你需要了解以下知识：SQL 注入漏洞原理 SQL 注入漏洞对于数据安全的影响 SQL 注入漏洞的方法常见数据库的 SQL 查询语法 MSSQLundefinedMYSQLundefinedORACLE 数据库的注入方法 SQL 注入漏洞的类型：数字型注入、字符型注入、搜索注入、

盲注

(sleep 注入) 、Sqlmap 使用、宽字节注入 SQL 注入漏洞修复和防范方法一些 SQL 注入漏洞检测工具的使用方法 06、文件上传漏洞了解下

开源编辑器

上传都有哪些漏洞，如何绕过系统检测上传一句话木马、WAF 如何查杀 Webshell，你必须要掌握的一些技能点：1.客户端检测绕过（JS 检测）2.服务器检测绕过（目录路径检测）3.黑名单检测 4.危险解析绕过攻击 5..htaccess 文件 6.解析调用/漏洞绕过 7.白名单检测 8.解析调用/漏洞绕过 9.服务端检测绕过-文件内容检测 10.Apache 解析漏洞 11.IIS 解析漏洞 12.Nginx 解析漏洞 07、文件包含漏洞去学习下 include() include_once()

require

() require_once() fopen() readfile() 这些 php 函数是如何产生文件包含漏洞 undefined 本地包含与远程包含的区别，以及利用文件包含时的一些技巧如：截断 /伪 url/超长字符截断等。08、命令执行漏洞 PHP 代码中常见的代码执行函数有：eval()undefined assert()undefined preg_replace()undefined call_user_func()undefined call_user_func_array()undefinedcreate_function()undefined array_map()等。了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。09、CSRF 跨站点请求为什么会造成 CSRF，GET 型与 POST 型 CSRF 的区别 undefined 如何防御使用 Token 防止 CSRF？10、逻辑漏洞了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞：信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL 跳转漏洞.11、XEE（XML 外部实体注入）当允许 XML 引入外部实体时，通过构造恶意内容，可以导致文件读取、命令执行、内网探测等危害。12、 SSRF 了解 SSRF 的原理 undefined 以及 SSRF 的危害。SSRF 能做什么？当我们在进行 Web 渗透的时候是无法访问目标的内部网络的，那么这个时候就用到了 SSRF 漏洞，利用外网存在 SSRF 的 Web 站点可以获取如下信息。1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的 banner 信息;2.攻击运行在内网或本地的应用程序（比如溢出）;3.对内网 Web 应用进行指纹识别，通过访问默认文件实现;4.攻击内外网的 Web 应用，主要是使用 get 参数就可以实现的攻击（比如 struts2，sqli 等）;5.利用 file 协议读取本地文件等。如果上述漏洞原理掌握的都差不多那么你就算入门 Web 安全了。因此，为了让你快速入门 Web 安全，老师将在课程中分享我们针对上百家企业的 Web 安全工程师岗位做了深度调研，总结出的 Web 安全学习路径，帮大家建立 Web 安全整体知识体系。