本帖子已过去太久远了，不再提供回复功能。花无涯带你走进黑客世界之新手脚本入侵步骤 - 知乎专栏
你正在使用一个过时的浏览器。请以查看此页面。
{"debug":false,"apiRoot":"","paySDK":"/api/js","wechatConfigAPI":"/api/wechat/jssdkconfig","name":"production","instance":"column","tokens":{"X-XSRF-TOKEN":null,"X-UDID":null,"Authorization":"oauth c3cef7c66aa9e6a1e3160e20"}}
{"database":{"Post":{"":{"title":"花无涯带你走进黑客世界之新手脚本入侵步骤","author":"heikehuawuya","content":"花无涯带你走进黑客世界之新手脚本入侵步骤新手必看-脚本入侵-ASP网站入侵一些技巧 先说明下 先看下是不是html转的asp生成的站 webshell 最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。 这里讲的是和sql和asp马对网站的提权，再说一下系列文章的问题，很多开始原来有些部分进行的增加或者修改，所以大家直接去微博、知乎、公众号直接翻文章阅读或者点关键字和链接直接访问。找不到的会贴部分链接到文章底部，出来直接点击就好了。
1.什么是脚本脚本是指全部网页编程语言的一个代名词2.什么是脚本入侵脚本入侵是指利用网页编程语言进行入侵的行为3.什么要学习脚本入侵现在我问你一个问题：你觉得入侵一个网站,也可以说拿下一个服务器，比起入侵一台个人的电脑，比如XP系统的，哪个更简单？ 直接切入主题具体操作步骤。 移除新手脚本入侵步骤视频演示在中国黑客协会官网都有教程和零基础网盘如果是html格式的站，我们先打开网站，然后单击鼠标右键 按查看源文件-编辑-查找，输入asp 看有没有网站ASP文件或ASP带参数，1：注入点先把IE菜单=&工具=&Internet选项=&高级=&显示友好 HTTP 错误信息前面的勾去掉。否则，不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的提示信息。案例：我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入漏洞了！注入点爆库方法先举个例子一个注入然后改成爆库利用%5c爆数据库如果不注入点的话 就用批量扫描注入点工具扫描 防注入就用中转注入2：上传漏洞用一些扫描上传漏洞字典或工具扫描 百度搜索把一大把3：后台1：一般站都是admin manage目录 有这个目录不可以见后台用一些扫描后台漏洞字典或工具扫描 注入如果没有办法的情况 我们就一个网站目录扫描比如：2：或单击网站图片按 鼠标右键-属性 看地址比如. heikexiehui .com/images/123.jpg我们可以看下可以列目录不. heikexiehui .com/images/如果是. heikexiehui .com/admin/images/123.jpg一般都后台. heikexiehui .com/admin/ 有时候可以直接转到后台 不行的话就直接这个目录用字典或工具扫描。3：看网站做下面版权备案那里 看比如Powered by xxx的 或网站连接4:后台入侵一般入侵后台常用的密码admin admin admin admin888 等等万能密码'or'='or'
'xor5：编辑器漏洞 不会的就在百度搜索把一大把6：注入点入侵的一些问题1：有时候注入点找不到表段
先看后台有没有什么相关的资源看网站做下面版权备案那里 看 比如Powered by xxx的 或网站连接 在百度下源码分析2：有时候注入点找不到字段 我们就到后台-按查看源文件 看用户一些字段 接下来讲一些包括前面提到的dos命令行和比较简单的注入代码口令！强调一下，手工注入和练习是一定要的，工具是很方便，但是有些地方还是需要手工操作！所以如果你完全不会、也不愿意学代码的操作，你没有办法执行任何操作。防注入解决办法： 1&使用or 2&1 ; or 1&2来进行判断 结果:分别返回不同的页面,说明存在注入漏洞. 分析：or注入只要求前后两个语句只要有一个正确就为真，如果前后两个语句都是正确的，反而为假。 记住：or注入时，or后面的语句如果是正确的，则返回错误页面！如果是错误，则返回正确页面 ，说明存在注入点。 2& 使用xor 1=1; xor 1=2 结果:分别返回不同的页面,说明存在注入漏洞. 分析:xor 代表着异或,意思即连接的表达式仅有一个为真的时候才为真。 记住：xor注入时，xor后面的语句如果是正确的，则返回错误页面积，如果是错误，则返回正确 页面，说明存在注入点。 3&把and 1=1转换成URL编码形式后在提交 and 1=1 URL编码：%41%4E%44%20%%31%3D%31 4&使用-1；-0 分析：如果返回的页面和前面不同，是另一则新闻，则表示有注入漏洞，是数字型的注入漏洞;在 URL地址后面加上 -0，URL变成 news.asp?id=123-0，返回的页面和前面的页面相同，加上-1，返回错误页面，则也表示存在注入漏洞. 3、字符型判断是否有注入： 语句：' and '1'=1；' and '1=2(经典） 结果：分别返回不同的页面,说明存在注入漏洞. 分析：加入' and '1'=1返回正确页面，加入' and '1=2返回错误页面，说明有注入漏同。 防注入解决办法： 在URL的地址后面加上'%2B'（字符型） 分析：URL地址变为：news.asp?id=123'%2B'，返回的页面和1同;加 上'2%2B'asdf，URL地址变为：news.asp?id=123'%2Basdf，返回的页面和1 不同，或者说未发现该条记录，或者错误，则表示存在注入点，是文本型的。 搜索型判断是否有注入: 简单的判断搜索型注入漏洞存在不存在的办法是先搜索'，如果出错，说明90%存在这个漏洞。然后搜索%，如果正常返回，说明95%有洞了。 说明：加入如\"&\"、\"[\"、\"]\"、\"%\"、\"$\"、\"@\"等特殊字符，都可以实现，如果出现错误，说明有问题。 操作： 搜索一个关键字，比如2006吧，正常返回所有2006相关的信息，再搜索2006%'and 1=1 and '%'='和 2006%'and 1=2 and '%'='，存在异同的话，就是100%有洞了。关键字%' and 1=1 and '%'='% 关键字%' and 1=2 and '%'='% 将and 1=1 换成注入语句就可以了 判断数据库类型： and user&0 例如：showdetail.asp?id=49 ;and user&0 如果是ACCESS数据库,那么返回的错误里一般会有\"Microsoft JET Database\"关键定，如果是MSSQL数 据库的话返回的错误提示里一般会含有\"SQL Server\"关键了. 猜表名 and exists (select * from 表名) 说明：意思与上面一样，只是用的语名不一样。 猜列名 and (select count(列名) from 表名)&0 说明：如果我们输入的列名猜解正确否反回正常页面 猜长度 and (select top 1 len(username) from admin)&0 说明：如果我们输入的最后一位数据返回错误，而错误前一位数字返回正确，说明我所猜解的长度 为正确。 猜内容 and (select top 1 asc(mid(username,1,1)) from admin)&50 ascii码1-128 说明：如果我们输入的最后一位数据返回错误，而错误前一位数字返回正确，说明我所猜解的数字正确。（可以使用折半法猜内容） 折半法：最小值与最大值差的一半，比如输入50返正确，输入100返回错误，折半后输入75。 两种常见爆库 1、%5c 2、conn.asp %5c暴库 把二级目录中间的/换成%5c EY: otherweb ... s.asp?BigClassName=职 责范围&BigClassType=1 如果你能看到：’E:\\ahttc040901 \\otherweb\\dz\\database\\iXuEr_Studio.asa’不是一 个有效的 路径。 确定路径名称拼写是否正确， 以及是否 连接到文件存放的服务器。 这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行 . conn.asp暴库 这个也是比较老的漏洞，利用价值不大 常见的：'or'='or'万能密码登陆 ’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有 ： ’or’’=’ \" or \"a\"=\"a ’) or (’a’=’a \") or (\"a\"=\"a or 1=1-- ’ or ’ a’=’a 一个很老的利用方法，主要用于一些比较老的网站。 联合查询注入(union查询） 操作步骤： 1&在正常语句后台加入 and 1=2 union select * form 表名，其中*号代表字段数量，从1一直追加 （and 1=2 union select 1，2，3，4 form 表名）如果字段数正确就会有暴错 2&在页面显示数字的地方用真实得到的字段名代替，如：username,password. 3&在页面字段值处暴出真实的数据库字段值。
还有很多一句话木马和后面的操作，都有现成的都是别人写的，你有自己的思路，拿了漏洞自己也都可以写，别人的很多的都是已经现在实现不了可能就失效了，稍微用的多点的就是中国菜刀了，拿的站点也是非常弱的，还有个情况就是拿站测试的时候，后门非常的多，你刚刚拿下过不了多久又被别人改了，所以你想独占的话需要点心思。*本文作者：花无涯，转载请注明。","updated":"T04:48:42.000Z","canComment":false,"commentPermission":"anyone","commentCount":5,"collapsedCount":0,"likeCount":30,"state":"published","isLiked":false,"slug":"","lastestTipjarors":[],"isTitleImageFullScreen":false,"rating":"none","titleImage":"/v2-6bfb57197cea18aa158ae5ac3a8b4644_r.jpg","links":{"comments":"/api/posts//comments"},"reviewers":[],"topics":[{"url":"/topic/","id":"","name":"黑客 (Hacker)"},{"url":"/topic/","id":"","name":"网络安全"},{"url":"/topic/","id":"","name":"信息安全"}],"adminClosedComment":false,"titleImageSize":{"width":1100,"height":880},"href":"/api/posts/","excerptTitle":"","column":{"slug":"heike","name":"花无涯带你走进黑客世界"},"tipjarState":"activated","tipjarTagLine":"真诚赞赏，手留余香","sourceUrl":"","pageCommentsCount":5,"tipjarorCount":0,"snapshotUrl":"","publishedTime":"T12:48:42+08:00","url":"/p/","lastestLikers":[{"profileUrl":"/people/jian-guo-69-89","bio":null,"hash":"3abcaeb427b4","uid":974800,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"jian-guo-69-89","avatar":{"id":"e39afa773ac750d9fe712af","template":"/{id}_{size}.jpg"},"name":"坚果"},{"profileUrl":"/people/liang-bo-shi-40","bio":"","hash":"a20f1aa7dbbad85f77e176df31a73a8a","uid":36,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"liang-bo-shi-40","avatar":{"id":"ceb37cc7bb2e8ee3aafd561f85a4ca09","template":"/{id}_{size}.jpg"},"name":"蓝色的士"},{"profileUrl":"/people/bao-fei-23-47","bio":"高中刚毕业的小伙纸","hash":"4c22b15b4c9ae866744cbeacf50847ce","uid":835500,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"bao-fei-23-47","avatar":{"id":"v2-8b7c08fa642b4cfb1d11c279be33429a","template":"/{id}_{size}.jpg"},"name":"Abalone"},{"profileUrl":"/people/vjlan-ye","bio":"不如高卧且加餐","hash":"d9dacdddac6c","uid":20,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"vjlan-ye","avatar":{"id":"da8e974dc","template":"/{id}_{size}.jpg"},"name":"VoilaViola"},{"profileUrl":"/people/lynn-song-89","bio":null,"hash":"50a7b2dba0ff5a","uid":68,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"lynn-song-89","avatar":{"id":"v2-56ee8f2dfe","template":"/{id}_{size}.jpg"},"name":"长耳朵的红猴子"}],"summary":"花无涯带你走进黑客世界之新手脚本入侵步骤 新手必看-脚本入侵-ASP网站入侵一些技巧 先说明下 先看下是不是html转的asp生成的站 webshell 最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙…","reviewingCommentsCount":0,"meta":{"previous":{"isTitleImageFullScreen":false,"rating":"none","titleImage":"/v2-ed5a7bbea_r.jpg","links":{"comments":"/api/posts//comments"},"topics":[{"url":"/topic/","id":"","name":"黑客 (Hacker)"},{"url":"/topic/","id":"","name":"网络安全"},{"url":"/topic/","id":"","name":"信息安全"}],"adminClosedComment":false,"href":"/api/posts/","excerptTitle":"","author":{"profileUrl":"/people/heikehuawuya","bio":"中国黑客协会创始人（公众号 黑客花无涯）","hash":"7c167df1abab7e6265cda6","uid":207600,"isOrg":false,"description":"网络黑白 作者\nvx/qq
\n新浪微博 @花无涯\n推特 hackhuawuya","isOrgWhiteList":false,"slug":"heikehuawuya","avatar":{"id":"v2-288eeb1b546abe75b1bad2b2","template":"/{id}_{size}.jpg"},"name":"花无涯"},"column":{"slug":"heike","name":"花无涯带你走进黑客世界"},"content":"企业的网络攻防战无非就是白盒测试和黑盒测试，
只要攻击者信心坚定，没有什么密码是搞不到手的。不管头衔是白帽子、黑帽子，还是游走在中间的某种状态，大多数黑客都会同意没有攻不破的密码，或者是密码管理措施。不管他们的态度如何，是否尊重法律，企业如何做好攻防战，仅仅依靠第三方的公司是一定不够的。白帽子是善意的话，那么黑白之间的灰帽子那可能就是带有勒索或者某种恶意的攻击了，针对企业或者个人，前段时间的勒索软件就是典型，在世界黑客 Black Hat 大会上，关键账户管理解决方案提供商Thycotic调查了超过300位自称为黑客的参会者(匿名参与)。58%的受访者认为自己是白帽子——帮助机构来发现并处理漏洞的安全研究人员。25%的受访者则是灰帽子，他们带着恶意的目的来渗透网络。黑协致力于培养白帽子，欢迎更多的人加入，拥有正确的价值观，和更多的小伙伴一起交流学习，最近的理事会管理层重新开始招募了，值得关注！ 网络安全在今年恐怕是奠定了以后的重要的作用了，每一股势力都是不容小觑，灰帽子还是大量存在的，灰帽子处在中间地带。他们向政府机构、执法机构、情报机构和军方披露、或者销售自己发现的零日漏洞。白盒测试和黑盒测试将管理员权限限制到系统其一，任何严肃的网络保护措施都应该从特权账户入手。特权账户是“王国的钥匙”，这也让它们成为了寻求访问权限，以在网络中随意走动的攻击者的顶级目标。Thycotic公司在其发布的《Black Hat ：黑客调查报告》中称：“首先，攻击者通过一切可能的方式获得一个前哨站，这通常是通过入侵终端用户计算机做到的。然后，他们尝试通过入侵特权账户来提权，这让攻击者能够像受信任的IT管理员一样对网络进行操作。”要进行响应，机构应当至少部署一项特权策略， 防止在请求并通过之后直接给予特权，降低攻击者通过针对特权账户密码或哈希来侵入整个网络的可能性。Thycotic在报告中说：“通过确保终端用户按照标准用户档案配置，并在需要运行合法、可信应用时临时提权，可以在终端用户工作站上部署最小特权策略。对IT管理员的特权账户，控制账号拥有的特权并且对Windows和UNIX系统部署超级用户特权管理 (Super User Priviledge Management) ，能够防止攻击者运行恶意应用、远程访问工具和控制台。”此外，IT管理员应当只在有必要时使用特权账户。当没有必要使用特权时，应当使用普通账户。保护特权账户密码说到特权账户，很容易陷入将它们和人类用户联系起来的误区。实际上，特权账户也会延伸到那些供用户操作的机器和系统。机构拥有特权账户的数量通常是其员工数量的两到三倍。Carson指出，所有部署的系统都会自带一个默认账户，此外，所有连接到服务账号的管理系统也都会有一个账户。所有部署的虚拟机都会有特权，而且该特权在虚拟机关机之后仍会存在。如果虚拟机被克隆，这些特权也会随之被克隆。因此，机构通常会被大量流氓特权账号塞满，它们均能够访问整个环境。Thycotic在报告中写道：“因此，劫持特权账户能够帮助攻击者访问并下载机构的敏感数据，毒化数据，大量散播恶意软件，绕过现存安全措施并抹除审计痕迹，隐藏活动。 主动式管理、监控、控制特权账户访问十分关键。这些账户对于当今的IT架构是必要的，确保它们被安全地管理事关重大。”更糟的是，机构仍旧经常依赖于表格文档等收到那个系统来管理特权账户密码。这已经不只是低效了。Carson指出，此类管理系统本身就很容易遭到入侵，给整个企业带来显著的安全风险。Thycotic写道：“特权账户密码保护能够为自动发现并存储特权账户、定期更换密码、审计、分析、管理各个特权线程活动、 监控密码账户来快速发现并响应恶意活动提供综合性解决方案。这为在网络内部保护特权账户带来了一个全新的 安全层级。”拓展网络安全意识训练习主席说过网络安全等于国家安全，我们应该注重网络安全,在互联网的圈子里懂的人很少, 很多平台都在做不同领域的网络隐私安全,唯独新手这一块一直以来都是黑协在做,黑协一直都在持续完善，推送更多帮助新手入门进阶的知识。不仅是我，业内的大多数安全专家认为人类才是机构安全中最弱的一环。那就是社会工程学，虽然凯文的时代和我们国情不适用，但是还是希望引起大家的高度重视起来。“随着过去过去几年中涌现出更多复杂的社会工程和钓鱼攻击，企业应当严肃地思考拓展IT安全意识培训项目这件事了，而不是仅仅停留在执行简单的在线测试、告知安全策略等手段上。特别是在移动设备日渐应用到商业场景的时代里，教育员工什么才是安全的行为变得势在必行。”从历史上来看，安全意识训练的结果可能彼此之间大相径庭。Steve Durbin是Information Security Forum的总经理，他则表示，那些能够在商业活动中增加正面的信息安全操作的训练项目能够将员工从最薄弱的一环变成防御的第一线。我自己也曾思考：“过程本身可能就是问题。有可能你的系统或过程太复杂、太繁重，而实际上并不必须如此。这样问你自己：如果我们从头开始，如何在过程中增加安全措施，让人们更容易遵从”不过需要注意的是，相比黑帽子，白帽子黑客更加信奉安全意识。“有趣的是，黑帽子和白帽子黑客对全部五个安全措施的排名几乎是相同的，除了黑帽子不相信IT安全意识训练有那么重要。总的来看，黑帽子给出的名单中，IT安全意识训练排在第四位。他们将预防未知应用运行拍在了更高的位置。这有可能是因为黑帽子黑客认为人类是不可预测的，相比于能够限制风险操作的技术解决方案，他们更像是较弱的环节。”限制未知应用如果你不知道一个东西存在，就无法保护它。你需要弄清网络上运行的应用中究竟哪些是合法的，并确保它们的密码得到了妥善保管。Thycotic写道：“应用账户需要被细心存储。应当使用严格的策略进行检查，确保密码强度、账户访问权限和密码替换周期。报告这些账户并且执行中心化的管控对于保护关键信息资产而言至关重要。”利用安全最佳实践保护用户密码归根结底，这些措施并不都与特权账户有关。尽管特权账户能够为攻击者提供访问关键数据的权限，终端用户账户仍旧是攻击向量之一。这就是说，77%的受访者并不认为所有密码都能避免黑客入侵。黑客隐痛说：“保护用户密码排在了最后。有些人可能会说这对企业而言是好消息，因为改变人类行为很难：只让IT团队行动起来比动员全公司员工要简单多了。不过，如果你想要保护终端用户密码，应当寻找哪些能够针对密码强度、密码更换周期提供措施，并能提供简单安全的密码重置策略的安全解决方案。它们应当定期要求员工更改工作站密码，当然，这毫无疑问地代表着，员工忘记新密码之后，技术支持团队接电话会很忙。”花无涯这么说：黑客是指而是能够突破极限的能力，并拥有道德感、开放和共享的精神，最终的目的是推动世界发展朝着一个更好、更安全的世界发展。第一，从数据到知识，一切都是信息。网络安全在中国是奢侈品，安全本质则是对信息的控制权。黑客是未来信息社会重要的平衡力量。中国黑客协会非常重视人才的吸收的培养，有兴趣、热爱、执着童鞋们欢迎你们的加入，别让自己荒废着，新手永远是多数,我们将致力于新手启蒙和进阶教育,引导其树立正确观念，为社会贡献出一份力，网络世界不安定因素过多。关注公众号：黑客花无涯","state":"published","sourceUrl":"","pageCommentsCount":0,"canComment":false,"snapshotUrl":"","slug":,"publishedTime":"T22:28:55+08:00","url":"/p/","title":"花无涯带你走进黑客世界之企业的网络攻防战","summary":"企业的网络攻防战无非就是白盒测试和黑盒测试， 只要攻击者信心坚定，没有什么密码是搞不到手的。不管头衔是白帽子、黑帽子，还是游走在中间的某种状态，大多数黑客都会同意没有攻不破的密码，或者是密码管理措施。不管他们的态度如何，是否尊重法律，企业…","reviewingCommentsCount":0,"meta":{"previous":null,"next":null},"commentPermission":"anyone","commentsCount":0,"likesCount":0},"next":{"isTitleImageFullScreen":false,"rating":"none","titleImage":"/v2-ef79e074c180b55bf0e3ee_r.jpg","links":{"comments":"/api/posts//comments"},"topics":[{"url":"/topic/","id":"","name":"黑客 (Hacker)"},{"url":"/topic/","id":"","name":"网络安全"},{"url":"/topic/","id":"","name":"信息安全"}],"adminClosedComment":false,"href":"/api/posts/","excerptTitle":"","author":{"profileUrl":"/people/heikehuawuya","bio":"中国黑客协会创始人（公众号 黑客花无涯）","hash":"7c167df1abab7e6265cda6","uid":207600,"isOrg":false,"description":"网络黑白 作者\nvx/qq
\n新浪微博 @花无涯\n推特 hackhuawuya","isOrgWhiteList":false,"slug":"heikehuawuya","avatar":{"id":"v2-288eeb1b546abe75b1bad2b2","template":"/{id}_{size}.jpg"},"name":"花无涯"},"column":{"slug":"heike","name":"花无涯带你走进黑客世界"},"content":"花无涯FAQ答疑系列之“如何成为一名黑客”注明：Jargon File（译注：黑客行话大全）的编辑和几份其他类似性质知名文章的作者，我经常收到充满热情的网络新手的电子邮件询问：“我如何才能成为一名出色的 Hacker？”网上的资料信息太过于杂乱，我注意到网上似乎没有任何的 FAQ 或者 Web 形式的文档提到及这个至关重要的问题，因此我写了这份文档。现在，很多 Hacker 都认为这是一篇权威性文档，那我也姑且这么认为吧。不过，我不认为我是这个话题的绝对权威；如果你不喜欢这篇文档，你也可以自己写一份，摘要 （部分内容摘自国外）。Jargon File 不是一个人，前面有译注，可以理解为黑客大全，黑客学习中的新华字典，答疑系列选取这几年来我被问到最多的问题，进行一个综合回复，你可以仔细的看完，文章的底部有你感兴趣的关键词可以点击直接找到，答疑系列在公众号首发，微博 ，知乎，博客，空间，专栏，媒体等平台会陆续同步上线，内容可能有些许偏差不影响阅读，排版什么的操作比较麻烦就不一篇篇的去弄了，毕竟不是鸡汤文。Jargon File 中讲了一堆关于“hacker”这个词的定义，大部分是关于“技术高超”、“热衷解决问题”、以及“超越极限”的内容。但如果你只想知道如何成为一名黑客的话，真正重要的只有两条。黑客的思维方式并不仅仅局限在软件黑客的文化圈内。也有人用黑客态度对待其它事情，如电子和音乐方面——其实你可以在任何最高级别的科学和艺术活动中发现它的身影。软件黑客对这些领域的践行者尊重有加，并把他们也称作黑客——有人宣称黑客天性是绝对独立于他们工作的特定领域的。但在这份文档中，我们将集中书写在软件黑客的技术和态度，以及发明了“黑客”一词的、以共享为特征的文化传统。有另外一群人大声嚷嚷着自己是黑客，但他们根本不是。他们主要由青少年男性构成，是一些蓄意破坏计算机和电话系统的人。真正的黑客把这些人叫做“骇客”(cracker)，并不屑与之为伍。黑客们通常认为他们是一群懒散、没有责任心、而且不是很聪明的人。会通过热接线发动汽车并不意味着你是一个汽车工程师。一样的道理，会破坏安全也不意味着你是一名黑客，不幸的是，很多记者和作家往往错把“骇客”当成黑客；这种做法一直使真正的黑客感到恼火。根本的区别是：黑客搞建设，骇客搞破坏。网络黑白一书中 的理解是 红客是褒义词 黑客是中性词 骇客则是贬义词。如果你想成为一名黑客，请接着读下去。如果你想做一个骇客，准备好去蹲个五到十年的监狱，而且最终你会意识到你并不像自己想象的那么聪明。关于骇客，我能说的只有这些。经历过高考的各位同学都应该心有感触：当你在高中时，你被告知必须考上大学才能成功；当你在初入大学认为已经成功之时，你被告知必须修够学分拿到毕业证才能成功；而当你成功毕业认为已经成功之时，你被告知必须找个好工作才能成功；而当你千辛万苦终于找个好工作时，你被告知必须出色完成KPI快速升职加薪才能成功；当你使出吃奶的劲儿升职加薪之后，你被告知必须在北京买上几百万的房子才能成功；……而如果你一直以这种思维生活/学习下去，那么你基本上就不会成功，你的每一次目标的达成都会让你多一分怨气，少一分斗志，最后大多数人就局限在这个死循环中被吞没了。而且更加要命的是，由于你过于关注每次达成“成功”的局部，而无法以更大的格局思考问题。如果你突破不了基因带给你的桎梏，那么你将永远是芸芸众生，而我们都知道芸芸众生中是不可能有黑客这种精英出现的。因此，在你正式准备学习黑客之前，建议你要先了解一个客观事实，那就是——只有成长才是永恒的主题，过程中的成功仅仅是你成长路上的里程碑而已。","state":"published","sourceUrl":"","pageCommentsCount":0,"canComment":false,"snapshotUrl":"","slug":,"publishedTime":"T19:15:05+08:00","url":"/p/","title":"花无涯FAQ答疑系列之“如何成为一名黑客”","summary":"花无涯FAQ答疑系列之“如何成为一名黑客” 注明：Jargon File（译注：黑客行话大全）的编辑和几份其他类似性质知名文章的作者，我经常收到充满热情的网络新手的电子邮件询问：“我如何才能成为一名出色的 Hacker？”网上的…","reviewingCommentsCount":0,"meta":{"previous":null,"next":null},"commentPermission":"anyone","commentsCount":0,"likesCount":0}},"commentsCount":5,"likesCount":30,"FULLINFO":true}},"User":{"heikehuawuya":{"isFollowed":false,"name":"花无涯","headline":"网络黑白 作者\nvx/qq
\n新浪微博 @花无涯\n推特 hackhuawuya","avatarUrl":"/v2-288eeb1b546abe75b1bad2b2_s.jpg","isFollowing":false,"type":"people","slug":"heikehuawuya","bio":"中国黑客协会创始人（公众号 黑客花无涯）","hash":"7c167df1abab7e6265cda6","uid":207600,"isOrg":false,"description":"网络黑白 作者\nvx/qq
\n新浪微博 @花无涯\n推特 hackhuawuya","profileUrl":"/people/heikehuawuya","avatar":{"id":"v2-288eeb1b546abe75b1bad2b2","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"badge":{"identity":null,"bestAnswerer":null}}},"Comment":{},"favlists":{}},"me":{},"global":{},"columns":{"heike":{"following":false,"canManage":false,"href":"/api/columns/heike","name":"花无涯带你走进黑客世界","creator":{"slug":"heikehuawuya"},"url":"/heike","slug":"heike","avatar":{"id":"v2-a8966eab1d26db58fe17c52b07bcdbca","template":"/{id}_{size}.jpg"}}},"columnPosts":{},"postComments":{},"postReviewComments":{"comments":[],"newComments":[],"hasMore":true},"favlistsByUser":{},"favlistRelations":{},"promotions":{},"env":{"isAppView":false,"appViewConfig":{"content_padding_top":128,"content_padding_bottom":56,"content_padding_left":16,"content_padding_right":16,"title_font_size":22,"body_font_size":16,"is_dark_theme":false,"can_auto_load_image":true,"app_info":"OS=iOS"},"isApp":false},"sys":{}}}