如何学习攻防技术

刚刚逛论坛看到这样的提问和回复觉得写得挺好的摘录过来和大家分享一下：引用:新手问的问题是：
正在用《白帽子讲web安全》这本书入门，但是只会一些C语言的东西，所以里边涉及到HTML或者JavaScript的代码都读不懂……求大神给些意见，是先往后看还是先去补习了这些相对应的知识？真心谢谢了。其中一个人回答：这本书不适合入门，不是给小白和新手看的。没有适合新手看的书。（我估计这人是个大牛级别的人物）

另一个我觉得回答最好的如下：
适合入门的人看的东西还是有。 只是如果不认真理解和百度不懂的东西 也的确没有。如果是学习网络安全方面的。 《精通脚本黑客》这本书不错。在之前你可以百度一下一点基本概念 比如服务器是什么。 网站的运行原理。 给自己充点底，深入的东西可以慢慢补，然后你可以从注入看到上传漏洞、xss。 再到流密码破解 再慢慢结合一些工具的使用方法如burpsuite和metasploit之类的工具 以后尽量要会用。

网络安全学到后面就需要慢慢补代码基础。 毕竟你要会自己挖漏洞 不说像大程序员一样写出多精湛工整的代码 但至少能看得懂流程。 懂函数。 然后就是代码审计、操作系统 linux推荐 鸟哥的linux私房菜，逆向的东西 我不是很懂。 但推荐下看雪论坛的一些东西 加密与解密第二版。弄懂虚拟内存 地址。 堆栈的一些东西 然后学用OD IDA之类的东西。然后会接触到eax定律 就可以手动脱压缩壳和一部分加密壳，当然慢慢有基础了过后 就可以转向缓冲区溢出的东西，推荐看雪版主failwest(王清)出的一本叫0day安全:软件漏洞技术分析的书挺详细的。
ps:白帽子讲web安全之类的 “安全技术大系”的书。 更多是提供实例和思路而不是讲授基础，所以的确不是很适合入门的人看。你可以去红黑之类的站看看文章 因为他这个站点喜欢去转载其他各种技术站点的文章。有一些东西可以给自己不少的帮助。至于有些人宣传的”黑客一定要会英语，黑客必须先学C语言”我只能说 会英语 掌握一门语言的确对自己有很大帮助。 但并不是完全没基础的人拼尽全力去学指针 学冒泡算法。如果说快速开发 object-C和python之类的语言可能还更适合。对于工具 只能说 有必要摈弃在一开始依赖于”啊D 明小子”之类的东西去批量狂扫。那样你收获的不过是虚伪的成就感。 对提升自己没有任何好处。如果用使用linux 那么推荐linux kali，它集成了很多无论是渗透测试 代码审计 逆向工程 包括无线破解。 数字取证的工具。学会使用一些优秀和强大的工具 并能了解他们的原理。 在需要的时候能自己写一点弥补不足的小工具。 就已经很不错了。
祝LZ学习成功。

引用:牛牛写在后边的话：
很多人看到要学习的东西很多而望而止步，我想说其实学习需要一个过程，并不是一蹴而就的，就像上边写到的，其实在慢慢的学习过程中你接触的东西会越来越多，就像滚雪球一样越滚越大，话说当年巴菲特在小的时候，一次在自家的庭园里滚雪球，结果发现越滚越大，最后就再也没有停下来过，一直滚起了现在的巴菲特帝国。废话不多说，我来总结一下上边提到的学习方法：

基础的概念――>注入、上传漏洞、xss――>了解一些工具的使用（激发兴趣）――>学习代码基础(主要能看懂能分析)――>加密和解密相关知识――>缓冲区溢出（难以防御的攻击）――>…………（技术很多，最终都将走上自己的一条路，也就是产生你的黑客风格）

本文出自 “剑客忘我” 博客，转载请与作者联系！