每一位计算机从业者或多或少都有一个让人着迷的“黑客“梦,我从08年从业至今,经历过银行、证券、医疗、互联网、智能出行等行业,也经历过国企、私企,也担任国政府的顾问和高校的硕士生导师,这份工作特别有趣,需要了解许多有关网络安全的事情,工作期间,我获得了许多技能并学到了很多技巧,也想在这里给大家分享这些技巧:
1、 建议从https://tryhackme.com/开始你的学习之路,当然国内也有包括吐司、freebuf等行业知名的论坛社区和学习平台,但相比较而言,THM比较综合,包含了学习、靶场,更关键的是免费。
THM是一个游戏化的实践网络安全培训平台,可以通过浏览器访问该平台,其中包含适合所有技能水平的蓝色、红色和 紫色团队内容。基础的内容都是免费的,对入门和基础晋升人员大有好处。
2、学会使用开源情报 (OSINT)
-
互联网是有记忆的,且记忆特别好
-
学习如何查找
-
学习如何提问(检索)
-
学习如何分析和筛选
-
对来源、可靠性、真实性进行辨识
-
Google Hacking,有时也会被称为Google dorking,让你事半功倍
-
site:example.com 告诉 Google 仅显示来自指定域的结果
-
inurl:something 仅显示 URL 中包含某些内容的结果
-
“关键词”告诉谷歌只显示那些按确切顺序包含某些单词的结果
-
-something 告诉 Google 只显示不包含某些内容的结果
-
更多后期分享
3、信息泄露的查找:当今的现实是到处充斥着大量丢失的数据,无论是暗网还是明网,被窃取的、没有保护的、出售的还是刻意的数据(地址、密码、电子邮件、电话号码等)都被有心人获取:
-
https://haveibeenpwned.com:输入电子邮件地址或电话号码,反馈给你想知道的信息。
-
-
![安全从业者的一些必学技巧]( "安全从业者的一些必学技巧")
-
https://breachdirectory.org/:更刺激一些
-
![安全从业者的一些必学技巧]( "安全从业者的一些必学技巧")
-
https://search.illicit.services/:话不多说
-
![安全从业者的一些必学技巧]( "安全从业者的一些必学技巧")
-
社工库:违法,慎用
-
-
最后:如果记录密码是一个费劲的事儿,请认真考虑密码管理器的使用。OSINT是一个很庞大的课题,我们无法在这里意义的讨论,但在当下的互联网环境中时最需要重视的内容。
4、自动化
严格来说,使用自动化工具一直不被传统黑客所承认,认为不算技能,甚至出现了“脚本小子”的称呼,但,不的不承认自动化攻击技术很重要:
1、工具:
2、编程:编码会丰富思维模式,拓展技术便捷,同时去根据个人习惯和喜好去构建工具集,可以通过百度、Google、facebook等去接触学习最新的知识并落地。
3、新型硬件hacker:以Flipper Zero为例,可以拦截宽频谱的无线电信号,通用的红外遥控器,克隆钥匙卡五分钟了解常见的黑客设备
5、社会工程学
1、必读书籍:欺骗的艺术、反欺骗的艺术等
2、语言是敲门砖,好的语言魅力会建立信任,事半功倍
6、学会用黑客的思维去思考
i can do what i want
i can do what you dont want
7、一些资源:
开源情报资源
-
https://inteltechniques.com/
-
https://osintteam.blog/osint-how-to-find-information-on-anyone-5029a3c7fd56
社会工程资源
-
https://www.social-engineer.org
其他
-
https://flipperzero.one/:Flipper Zero 的官方网站。
原文始发于微信公众号(KK安全说):安全从业者的一些必学技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论