黑客用“勒索病毒”展示肌肉，但你了解什么是“白帽黑客”吗？

从5月12日起，互联网世界遭遇一种名为WannaCry的勒索病毒攻击，这波攻击来势汹汹，席卷了全球150多个国家，数千家企业和机构、超过30万台设备受到影响。这里祭出一张来自malwaretech的全球感染地图，大家自行感受↓↓

从目前的数据分析，该病毒已经得到了遏制，新增的受感染系统正在下降。但也有国外网络安全公司捕获到该病毒的变种版本，所以不排除新一轮攻击的扩大。

在病毒获得大家关注的同时，病毒的来源也引发了大家的猜测。来自Flashpoint的研究员则从语言的角度尝试溯源，认为黑客所用语言文件都基于英语和中文，其他语言都是由英语翻译而来。而从语言使用上，英文版的勒索信息存在语法错误，这表明作者母语不是英语，或者受教育程度不高。因此有人猜测，黑客的母语是中文。

（坊间传闻的这张截图，虽不能表明黑客为中国人，但从一定程度上显示黑客对中国相当了解）

WannaCry让全世界的人见识了一把黑客的威力。但事实上，在安全的江湖之中，除了黑客之外，还有一群武功高强、行侠仗义的英雄叫做“白帽子黑客”。

他们热衷于研究网络与计算机，善于发现安全漏洞。但他们并不会做坏事，而是将漏洞及时提交给企业协助修复。大部分 “白帽子黑客”本身也是企业的安全人员，从事着安全建设与安全维护的工作。

黑客需要掌握的知识很多，不是一朝一夕就能学完的，所以对于“白帽子小白”而言，Web安全容易上手，是最好的入门方向。不仅如此，随着Web技术应用广泛、发展迅速，“Web安全”已经成为信息安全中一个重要的分支，就业范围也非常广泛。

那么问题来了，如何从安全“小白”成为一名Web安全高手呢？

Web基础知识这里我们不做详解，基本上我们可以通过W3C站点学习：

http://www.w3school.com.cn/

回想起10年前，若想学习安全技术，就只能从《黑客X档案》、《黑客手册》的杂志中汲取，学习起来真是非常不容易。现在，安全技术的书籍开始多了起来，所以我们不得不感谢安全前辈们沉淀分享了这么优质的学习教材。

这里给大家推荐几本非常厉害的Web安全武功秘籍：

1）《白帽子讲Web安全》

2）《黑客攻防技术宝典—Web实战篇》

3）《Web前端黑客技术揭秘》

这里暂且就先推荐这三本，大家看完这几本后如果还有兴趣阅读，可以再去搜寻其他书籍阅读参考。

在Web安全中，使用和掌握一些常用的Web安全工具，不仅能够达到事半功倍的效果，还能够帮助我们扩展测试思路。如：

1）AWVS，综合漏扫工具

2）burpsuite、Charles、fiddler等抓包工具

3）sqlmap，注入工具

4）御剑，经典的敏感文件扫描工具

在江湖中行走，侠客们都会在客栈一起聊天、讨论，获取最新的消息

在Web安全中，我们也需要了解新的咨询、技术等，我们需要关注一些常见的站点和微信公众号。如：

1）Freebuf（http://www.freebuf.com/）

2）T00ls（https://www.t00ls.net/）

3）SecWiki（https://www.sec-wiki.com/）

各类安全站点已经发展到了百家争鸣的热闹场面，优质的站点也有很多，你也可以关注一个安全圈的导航站自己去探索和发现适合自己的站点。

在山上修炼的武林高手，最终都需要下山进行实战修炼。Web安全高手也是如此，不是掌握几个概念就是高手，而是需要实战，用漏洞喂出来的。

看到这里，如果你对成为白帽子黑客仍有兴趣，就不要错过下面这场直播啦~

6月13日，我们邀请了网易资深安全工程师黄龙， 他将从WannaCry勒索病毒事件进行切入，给大家讲解一下历史上比较著名的蠕虫病毒（会重点分析一下Web蠕虫），并谈一谈作为“白帽子黑客”的日常。

一个Web安全爱好者，要学习哪些知识，要学到什么程度，怎么学……这些都是困扰已久的问题。

如果长时间解决不了这些问题，人们就会逐渐对Web安全失了兴趣，Web安全技能难以得到提升。

面对这个行业的人才缺失，学习资料相对缺乏的窘境，网易的工程师们联合制作了一门《Web安全工程师》微专业课程，希望每个对安全行业有兴趣的小伙伴，能从入门到进阶，获得理论联系实践的全方位学习方案。

6月1日-6月20日，《Web安全工程师》微专业正在进行课程团购活动，除了享受底价外，还可获赠电子书~

最后，希望大家能成功从一名“安全小白”进阶为Web安全高手，行走在信息安全的江湖之中。

点击阅读原文，查看『白帽子黑客』进阶指南