应后台粉丝要求，简单介绍一下，如何避免开启道德黑客职业生涯的 3 个最常见陷阱

如果，你在努力成为一名道德黑客（渗透测试工程师/🐶），渴望通过xyz认证并“加速”您成为渗透测试员角色或尽快成为 赏金猎人之路。然而，现在走捷径可能会导致以后的基础不稳固，从而损害限制了长期发展，有效地创造了你未来的弱点和盲点。

常见的误解

• 三个月、零基础速成

• 无需具备太多 Linux 知识就可以通过道德黑客考试。“只要学一点 Linux 就可以了！”。

• 您无需深入研究网络、操作系统、数据库或 Web 应用程序即可成为渗透测试人员。“专注于那些 操作类黑客课程！”。

• 最后，“只要学习课程中的材料，就可以开始了！”。

虽然在没有牢牢掌握基本概念的情况下也可以获得某些认证，但从长远来看，在学习之旅的早期浏览这些认证可能会损害您的职业生涯。渗透测试人员必须覆盖广阔的领域，所有领域都植根于扎实的基础知识。

在我成为一名渗透测试人员之前，我已经获取了包括CCIE、微软、LINUX、DB等各个领域的认证，在 IT 和网络安全领域工作了几年，担任过不同的角色和职责，所以请相信我，我将与您分享我最诚挚的建议，以避免您在职业生涯早期犯下这些错误。

1.不要走捷径

        假设您出于正确的原因从事道德黑客活动，那么您热衷于破坏事物，弄清楚它们是如何工作的，然后帮助修复它们以改善雇主的安全状况。

这是一次令人兴奋的旅程，但肯定不会很快。花时间打好基础将会带来回报，并使你成为一名优秀的渗透测试人员。

以下是您在开始道德黑客之旅时必须熟悉的最低基础知识：

道德黑客学习路线

• 学习 Linux：这是您的容器、您的主要工具，同时也是您的伴侣。非常精通 Linux，特别是您选择的发行版，例如Kali Linux 或Parrot OS。

• 学习操作系统：如果不了解它们的工作原理及其细微差别，您将如何利用或保护它们？Windows和Linux使用最广泛，其次是macOS。

• 学习网络和 TCP/IP：您的目的是攻击互连系统和网络协议，并与它们进行交互。

• 学习基本脚本或编程：熟悉基本编程原理并能够阅读和理解代码。能够写剧本是一个额外的好处。我首先推荐Python、Bash和PowerShell。

• 学习 Web 基础知识：HTTP 协议、Web 服务器和 Web 技术无处不在。Web 应用程序是最公开和最常见的攻击面之一。大多数应用程序正在迁移到网络或移动设备，因此您必须熟悉网络。

• 学习安全基础知识：当然，您可以直接跳到性感的道德黑客研究，而无需进行一些基本和一般的网络安全培训。如果您缺乏对风险评估、缓解措施、安全控制、数据保护等领域的了解，您将无法传达您的发现和建议。Google
  网络安全专业人士和CompTIA Security+认证是很好的起点。

• 学习补充领域知识：一旦您了解了上述内容，就可以开始探索您感兴趣的领域了。你越早接触你所选择的利基市场越好。一些流行的领域包括网络安全、物联网设备、网络应用程序、移动应用程序、云等。

虽然掌握脚本/编程的基础知识和补充领域知识至关重要，但确定工作的优先顺序也同样重要。

相反，首先要专注于掌握 Linux 和网络，以及基本的安全概念。这些将构成基础并充当更深层次学习的启动板。接下来了解操作系统和 Web 功能的原理，然后了解编程概念和特定领域知识。

对 Linux 的深入了解可以极大地有益于您在网络安全领域的职业生涯，特别是作为一名有抱负的渗透测试人员。
此外，它可以极大地帮助您通过认证考试，而无需不必要的努力。

2. 持续学习

作为渗透测试人员，您应该始终了解最新的策略、技术和程序 (TTP)。威胁形势在不断变化，我们也应该如此。

当您选择渗透测试时，您应该不会惊讶地发现这是一个高度动态且不断变化的领域。您不仅需要跟上最新的道德黑客工具和技术，还需要跟上最新出现的网络威胁和安全最佳实践，这将为向客户或雇主提供可靠的缓解建议奠定基础。

必须认真致力于持续学习和专业发展：

• 了解网络安全新闻和最新出现的威胁。

• 不断学习新技术并不断磨练现有技术。

• 继续使用您选择的工具进行练习，同时密切关注可能更适合您当前需求的新工具或改进工具。

• 随着新概念或技术的出现（Linux、操作系统、网络、Web、数据库等），不断巩固您的基础知识。

我们还希望您不断磨练您的技能并发展您的道德黑客技术和方法。

这种重要的自我发展和技能提升可以采取多种形式：

• 参加（CTF）比赛或练习。

• 学习实用的道德黑客认证（例如OSCP）。

• 阅读有关网络安全和黑客攻击的书籍。是的，老派但有效！

• 在HackTheBox和TryHackme等平台上进行练习。

• 来自Cybrary等平台的在线培训和网络研讨会。

• 收听SecurityNow和Darknet Diaries等播客。

• 使用虚拟机构建家庭实验室来练习攻击和缓解场景。

3. 软技能很重要

有抱负的新渗透测试人员最容易被低估的技能是“软技能”。

软技能确实很重要。
作为渗透测试人员，您不是在黑暗中进行测试，而是与机器进行交互，在桌子的另一端，客户或雇主坐在您对面，为您的专业知识付费来指导他们，与他们交流您的发现，并为他们提供关于补救措施的建议。

软技能有助于与雇主、客户、团队成员和利益相关者进行有效沟通。

渗透测试人员需要具备的基本非技术技能：

• 整个参与过程中的口头和书面沟通

• 您的参与和调查结果的记录和报告

• 演讲技巧

• 时间管理技巧

• 项目管理技能

作为一名新的或有抱负的渗透测试人员，您可能已经反复听到过这样的话：您的渗透测试与您的报告一样好。客户无法见证您为获得访问权限而执行的令人印象深刻的黑客攻击或您对渗透测试工具和 Linux 魔法的掌握。他们只能通过您的主要交付成果（渗透测试报告）来评估您的参与质量。

这才是他们真正付出代价的目的——找出他们的安全漏洞并获得增强安全状况的建议。因此，发展软技能和技术专长至关重要。

沟通技巧对于在参与期间确定范围、更新利益相关者以及在参与结束时展示您的发现至关重要。

这将使您与那些潜伏在地下室、回避阳光直射并将自己与公司其他人隔离的穿着连帽衫的书呆子区分开来

。同样重要的是有效管理时间并将每次参与视为一个项目的能力，确保您有效地满足最后期限和目标。

结论

在道德黑客领域建立成功的职业生涯需要奉献精神、耐心和对持续学习的承诺。通过避免走捷径、及时了解行业趋势并磨练技术和软技能，您将有能力在道德黑客领域建立稳健的职业生涯，并在您选择的领域蓬勃发展。

我再说一遍，坚实的基础是释放渗透测试人员全部潜力的关键。

原文始发于微信公众号（KK安全说）：道德黑客之路的三个陷阱