我如何成為滲透測試人員/

道德駭客

？我們問專家！這是最權威的回答！

​

我們經常被初學者問到“我如何成為一名道德駭客”；或者“我如何成為滲透測試員”？所以，我們認為，不是反覆回覆相同的問題，最好的辦法是請現在在該領域工作的滲透測試人員，聽聽這些安全界的前輩是怎麼從Pentesting（網路安全）行業開始的？

毫無疑問：網路安全市場正在蓬勃發展，預計到2022年該行業的職業薪資會達到非常好的標準，這也是這方面除惡學者的工作保障以及職業發展的前景。滲透測試員在網路中可以是一個有趣且高度充實的角色，但當然，就像生活中的其他工作一樣，它可能會遇到挑戰。

根據各個國家的用工情況統計，網路安全人員仍然面臨非常大的空缺，目前在職的安全人員，遠遠無法滿足正常的市場需要，由此可見，如果你能成為一個合格的網路安全從業者，你的未來前景一定是非常廣闊的。但問題仍然是“如何開始網路安全事業！”

在這篇文章中，我們詢問了當前或者曾經在該領域工作的專業滲透測試人員，就如何成為職業駭客，發表了各自的看法，我相信這是非常有涵養的內容，遠遠超過你可以在任何搜尋引擎隨意搜尋到的內容價值，我建議初學者，一定要好好看完。

你會從這篇文章中學到什麼？

你必須對它充滿熱情（‘駭客，網路安全，測試等’）；

你必須學習駭客工具以及懂得如何最好地使用它們；

參與認證很重要，也很有幫助！CEH，CISSP，Security+，OSCP，C）PTE

大量的學習，及時掌握各種前沿的技巧等

SulemanMalik

［取自Suleman的TED簡介］SulemanMalik是一位專注且資源豐富的計算機專業人員，在網路安全，滲透測試，安全研究，恢復和維護各種硬體和軟體方面擁有9年以上的豐富學習經驗。他在利茲工作，目前是全日制學者，學習計算機取證與安全。他是一名IT安全專家，對道德駭客攻擊/測試，

社會工程

，安全研究和開發攻擊非常感興趣。

你是怎麼成為滲透測試員的？

道德駭客，計算機攻擊是我個人的興趣，當我12歲時，我就進入了這個行列。自從我還是個孩子以來，我一直這樣做。所以，我開始從網際網路上學習道德駭客並學到很多關於它的資訊。我還在深入學習［網路安全］。如果你沒有這方面的知識，那麼成為道德駭客並不是一件容易的事。如果你熱衷於此那麼你必須深入瞭解它，網路以及兩個裝置如何透過網際網路相互通訊以及它們用於從一個裝置到另一個裝置逐位傳輸的協議；以及兩個裝置連線時引發的安全問題是什麼？一旦理解，你就會開始愛上它！

您對有興趣成為滲透測試員的人有什麼建議？

要成為一名滲透測試員，您需要從獨立學習開始。我建議您從Web應用程式測試開始學習。它將使您更加了解客戶端和伺服器端攻擊。您還將瞭解常見的Web

應用程式漏洞

以及如何利用它們。有一些最新的虛擬機器可以線上使用，它們可以幫助您瞭解漏洞以及如何利用這些漏洞。少數流行的VM工具是Metasploitable，Dojoweb，PentestLab和HackLabs。您可以下載它們並開始向這些工具學習，因為它們是為初學者準備的。您將在OWASP網站上找到十大常見Web漏洞。您還可以找到有關使用OWASP大量詳細資訊

因此，最好開始學習測試如何破解Web應用程式，當您認為自己精通時，可以進入“

網路駭客

”和其他領域。

注意：如果您具有PHP，JAVA和HTML語言基礎，您將瞭解更多。

JustinKeller，C）PTE，ACMT，ACTC

Justin是認證滲透測試工程師（CPTE），Apple認證技術協調員，Apple認證Macintosh技師，HurricaneElectricIPv6認證Sage。

你是怎麼成為滲透測試員的？

我一直很喜歡電腦和學習。有一天，我線上開始閱讀有關要求的內容，其中包括對系統的深入瞭解。我決定要深入瞭解並且測試是應用它的最佳方式。

您對有興趣成為滲透測試員的人有什麼建議？

購買教科書，閱讀它們。購買認證指南，即使您不打算參加他的認證。指南提供了可用於衡量您理解的問題。從受信任的來源線上或親自接受培訓。最後，準備好後，獲得認證。我推薦C）PTE，C）PTC和CEH

NijatTaghiyev，OSCP

IT安全專家，

亞塞拜然

你是怎麼成為滲透測試員的？

我開始閱讀一些文章，書籍，論壇和參加PWK課程（使用KaliLinux進行滲透測試）

您對有興趣成為滲透測試員的人有什麼建議？大量重複的練習，閱讀書籍，部落格

Scott'R4v3N'Drew

PenetrationTester和TopHatSec的所有者（一個非常棒的駭客論壇）

你是怎麼成為滲透測試員的？

經過多年的奉獻和展示我的知識，我能夠找到我喜歡的工作。它必須是一種激情，它必須是你在業餘時間作為業餘愛好開始的東西。沒人在一夜之間成為一名滲透測試員。在成為令人滿意的職業之前，這總是一種愛好。

您對有興趣成為滲透測試員的人有什麼建議？

滲透測試是一個熱門市場。總的來說安全性是需求的，尤其是現在比以往任何時候都或缺。你真的需要對它充滿熱情。如果你想脫穎而出，這些也是你需要去做的。這並不意味著計算機科學的學士學位。也並不代表您擁有的CISSP。或者你有一個安全部落格，或者你是否在任何安全論壇上活躍，或者你是否正在使用github或bitbucket自己開展任何專案，或者你參加過任何CTF？

你應該明白，首先你應該參與當地的

駭客組織

，您需要讓自己參與安全社群。您需要成為該社群的一員，並與擁有相同激情的人一起環繞自己。也許很多時候很多事情，會讓你有時候你可能會想要離開，或者想要放棄，但你必須繼續並投入時間。總有一天你會因為你的激情而獲得獎勵。

這是一門藝術。這是一項技能。這需要時間來學習，如果你願意，這可能是一生的旅程。你永遠不應該停止學習，全面發展並選擇一個安全的主題，你會發現自己更喜歡它。

ChoudharyMuhammadOsama

滲透測試員和應用安全研究員

你是怎麼成為滲透測試員的？

從童年開始，我一直對資訊保安充滿熱情；如果要認真的來說，我是一個十幾歲就去網咖的人，一切都從那裡開始，我被這些傢伙們所做的事情所迷戀，我深深地愛上了駭客。發現目標，攻擊機器，竊取資訊，圖片等，從中獲得樂趣。然後我參加了其他的一些活動，一些“安全專業的工作”。

您對有興趣成為滲透測試員的人有什麼建議？

愛學習！如果您因為需要快速學習新技能，

作業系統

，程式語法或攻擊策略而感到畏縮，您可能會感到不知所措，但是，請保持希望！以你喜歡的方式，找到改進的方法，併為那些瘋狂地需要更多有安全意識的人的“駭客”工作。

戴爾SecureWorks的RazvanGabrielComanPenetration測試顧問

（為財富500強醫療保健客戶提供滲透測試等服務）

你是怎麼成為滲透測試員的？

我可以說自從高中畢業後我就想這樣做，但是在進入滲透測試職位之前，我是一名物理學學士，一名物理學碩士和5年的多個IT安全形色。

您對有興趣成為滲透測試員的人有什麼建議？

首先，要有嘗試進入駭客核心的心態。安全無處不在，不僅僅是在計算機上，每天學些新東西。學習一些密碼學原理。瞭解計算機網路和協議，使用Wireshark和GNS3等網路模擬器進行練習。學習作業系統原理，安裝Linux，每天嘗試使用它。瞭解Web技術和安全性（HTML，JavaScript，PHP，SQL，OWASPTop10），使用BurpSuite，OWASPZAP，SQLmap，Firebug分析線上提供的易受攻擊的應用程式，獲取通用程式語言（如Python），在處理您選擇的小專案時學習它。啟動一些易受攻擊的虛擬機器並建立一個小型的測試實驗室，使用Nmap，Metasploit和其他KaliLinux工具。進入任何可行的IT/安全工作，因為有些事情只能在工作中學習。在那裡學習所有你能做到的事情。不要指望熬夜的結果，這是一條漫長的道路，需要不斷的學習，但如果你足夠熱情，這絕對是值得的。

SCASSI MohamedTehami

滲透測試員

你是怎麼成為滲透測試員的？

因為我很年輕的時候，我就對安全和駭客感興趣，這完全是出於好奇心，想要了解具體的計算機很多事情是如何運作的，以及我們如何改變他們的工作方式。這是我在大學選擇計算機研究生涯的主要原因（現在有幾個關於資訊保安的專業）；學習所有與IT，網路，程式設計，設計等相關的基礎知識，在我這段時間裡，我喜歡在家裡的本地實驗室做一些測試，而現在有很多網站提供

駭客攻擊

對初學者來說很有挑戰性的挑戰。與安全相關的實習對於成為專業的筆友來說也很重要，但這並不總是必要的。

您對有興趣成為滲透測試員的人有什麼建議？

為了成為一名優秀的測試者，您首先應該對計算器的運作方式，

網路協議

，應用程式有一個很好的瞭解。因為測試不僅僅是使用駭客工具（我們稱之為指令碼小子），但它是關於知道你正在做什麼，而工具可以幫助減少你的工作。在掌握了良好的IT基礎知識之後，你應該開始閱讀安全性和漏洞以及利用它們的方式，這需要耐心和好奇心來學習，而且不透過測試，你永遠不會知道所有的事情，因為每次你可以測試不同型別的平臺不同的技術，你需要找到你的方法來打破它，但如果你不知道事情是如何工作的，所以你永遠應該在不斷的學習過程中。

MoatazMoustafa

道德駭客和滲透測試員

你是怎麼成為滲透測試員的？

當我12歲的時候，我對計算機世界，程式設計和網際網路非常感興趣，我想成為Android開發人員，所以在我13歲的暑假，我開始學習用Java和Eclipse編寫程式碼，我開始訪問一個名為XDADevelopers的網站，這是我的一次經歷，我花了一整天的時間在這個網站上，學習和獲得經驗。然後我開始學習Linux，root和開源專案，然後我製作了我的第一個指令碼來用於我的華為手機。我看到安全和駭客是一個非常令人興奮的話題，所以我開始閱讀越來越多的東西並學習，然後我開始學習線上課程，閱讀文章，並進入線上社群，學習程式設計，網路，Linux管理和滲透測試，我的職業生涯始於自由職業滲透測試員，然後我開始在公司中建立職位。

您對有興趣成為滲透測試員的人有什麼建議？

作為一個滲透測試人員需要努力和動力，對技術和資訊保安的熱情是必須的，作為一個滲透測試員並不意味著知道如何編寫一些終端命令或自動寫一些工具，滲透測試員對於計算機，系統和網路如何工作必須是有廣泛知識的人，每個滲透測試人員必須掌握程式語言，瞭解網路如何工作和操作，如何設計系統，瞭解網際網路和資訊保安，然後是時候學習駭客技術，掌握滲透測試最重要的是實踐，所以新的滲透測試人員應該準備易受攻擊的虛擬機器並試圖破解它們並參加CTF競賽，有人可以從易受攻擊的駭客攻擊的vm中學到技術的最好的書籍之一（kalilinuxctfblueprints），當然這不是最後一件事，你每天都必須學習新東西，所以你應該每天更新自己，不斷練習，不斷獲得新技能，永不停止學習。

OoPpS先生

OoPpSs先生是一位非常年輕的網路安全和網路犯罪調查員。

他從6年開始參與資訊科技和網路安全領域。他擁有CEH，CPH，CHFI，LPT，CISE，CEHIE，認證資訊系統安全專家，網際網路網路安全專家，認證Android開發，雲計算機應用開發專家，認證網路犯罪調查員，EnCase認證考官等專業國際認證，認證計算機取證審查員，印度法律研究所網路法，MCSE和CCNA認證，數字法醫和網路犯罪調查文憑，認證資訊系統安全專家法醫文憑等。

您對有興趣成為滲透測試員的人有什麼建議？

基於對初學者福利的一種奉獻。請遵循道德駭客的十條誡命：

1。 始終從網路法開始，因為這將清楚地說明我們為道德駭客行為的約束。

2。 總是教“道德駭客”而不是“駭客”。由於指導不當，許多初學者都在監獄裡。

3。 提高對“道德駭客”的認識和資訊保安領域的職業前景。

4。 為未來的研究和國際認證提供適當的指導，如MS，M。Tech（資訊保安和網路法）或將幫助他們的認證。

5。 始終明確可以做什麼/不能做什麼，不要誤導初學者，比如“沒有人能抓住你/追蹤你”。

6。 討論如何解決網路案例並激勵他們成為道德駭客而不是駭客。

7。 不要教授違反網路法的非法行為。

8。 推廣開源軟體的使用，鼓勵初學者學習和編寫自己的工具/軟體。

9。 始終引用您教授的任何內容，以便初學者也會關注您而不會複製其他材料/程式碼。

10。清楚地告訴他們道德駭客不是遊戲也不是娛樂。告訴他們這是多麼重要，並告訴他們如何能夠拯救很多人的現實生活場景。

DimitrisPallis，OSCP

Dimitris目前是一名自由職業者

使用bug-bounty/freelancing平臺的資源（BitdefenderBugBounty名人堂Bitdefender）探測和利用基於Web的應用程式，網路和系統中的安全漏洞。

你是怎麼成為滲透測試員的？

這實際上是我的職業規劃。我一直很好奇計算機是如何工作的，並且對於它們如何相互作用感到著迷。打破規則更令人興奮（總是一個“白帽子”的話題），為什麼不為它付錢？我在網上做了大量研究，我100％自學成才，一開始很難，但它仍然是最好的學習方式。當我對KaliLinux作業系統及其工具感到滿意時，我選擇了安全行業和IT中最嚴格的認證之一OSCP。然後，我正式成為一名專業的滲透測試員，並有足夠的信心申請這些職位。

您對有興趣成為滲透測試員的人有什麼建議？

首先，除了技能，我建議必須他/她有決心，耐心。這可能聽起來有些陳詞濫調，但沒有它們你就無法繼續。在技術方面，我建議對KaliLinux作業系統熟悉。網上有很多免費課程，檢視它們會很有幫助。當你有足夠的信心時，你也可以下載易受攻擊的虛擬機器器並試圖獲得root許可權！

AlfonsoGarciaAlguacil

Alfonso是思科的PenetrationTester

您對有興趣成為滲透測試員的人有什麼建議？

我會說，一旦你在程式設計，網路和作業系統方面擁有良好的知識基礎，最好的方法就是使用CTF。玩CTF會開啟你的大腦，你將開始考慮如何打破軟體，你也將學習自己學習，尋找有關每個挑戰中隱含的技術的文件，尋找過去發現的類似漏洞等。而最重要的部分，它非常有趣！

馬修泰米（temmyscript）

你是怎麼成為滲透測試員的？

這是我作為業餘愛好開始的事情，然後開始變得專業

您對有興趣成為滲透測試員的人有什麼建議？

您可以從線上和真實的人身上學到大量的知識。如果您有問題不要退縮，請堅持下去。

SurajRajkumarWaghmare

Suraj是JainamTechnologiesPvtLtd的安全分析師

你是怎麼成為滲透測試員的？

是興趣驅動。

您對有興趣成為滲透測試員的人有什麼建議？

大量學習，大量獲得知識。

RanjanKathuria

Ranjan是NestAwayTechnologiesPvtLtd的安全工程師

你是怎麼成為滲透測試員的？

在我們大學一個人用鍵盤記錄器攻擊Facebook後，我開始進入安全領域。

您對有興趣成為滲透測試員的人有什麼建議？

不要在Google上搜索：“如何破解Facebook”。這是最愚蠢的行為。

MohamedMagdyHassan

Mohamed在道德駭客攻擊，滲透測試和漏洞評估以及安全程式碼審計方面擁有豐富的經驗。除了熟悉程式語言（C，PHP，Java，JavaScript……）和

指令碼語言

（如Bash，Python，Ruby）之外，他還是“InfoSecElities”的技術主管，這是

利雅得

的一個資訊保安社群。

你是怎麼成為滲透測試員的？

我開始作為

安全工程師

工作。我從事防火牆，IP，Web閘道器，防病毒，高階威脅等工作。在此期間，我學習了網路和Windows系統。之後我開始進行Web滲透測試，因為我最初是一名Web開發人員，通過了eWAPT證書。之後我開始作為網路滲透測試員工作。在那期間，我正在為我的OSCP學習，直到我終於得到它。

您對有興趣成為滲透測試員的人有什麼建議？

要成為成功的滲透測試人員，您需要了解2個主題，網路和系統（Windows/Linux）。之後，這取決於你的目標。如果您計劃進行Web滲透測試，我建議得到eWPT證書並參與bug賞金計劃。如果您計劃進行基礎設施滲透測試，我建議得到eCPPT和/或OSCP證書並參與CTF。一些可以幫助你的常用工具是：Nikto，Nmap，Metasploit，Ettercap，JohnTheRipper，Wireshark，BurpSuite，Sqlmap，BeEF和Hydra。

ChaitanyaBobhate

作為愛國者，我一直渴望為我的國家作為網路安全和資訊保安領域工作，這是我渴望的領域之一。

你是怎麼成為滲透測試員的？

在這個不斷髮展的技術世界中，一切都是數字化的，並且是平行的，安全性在於影象，每個組織都關注其系統安全性；您需要保護入侵者的機密資料。滲透測試人員會探測和利用模擬真實網路攻擊的漏洞和安全漏洞，您的最終目標是幫助組織改善其安全狀況。滲透測試是一個“酷孩子”的工作，但它也是我個人的興趣；駭客是我的熱情，這是一個充滿挑戰的職業，你需要集思廣益來完成你的任務。為了追求我的專業水平，我已經獲得了滲透測試認證，並完成了CEH（認證道德駭客）。我也在準備OSCP認證，以提升我在我的領域的知識。

您對有興趣成為滲透測試員的人有什麼建議？

根據我的理解知識，滲透測試領域的重要事項是，人們應該充滿熱情，需要對技術進行更新積累。一個人應該是自學者，自我激勵者，應該瞭解網路，作業系統，資料庫和程式設計基礎知識。

HarshitSharma

Harshit是Techinvo的網路安全研究員，道德駭客和執行長。

你是怎麼成為滲透測試員的？

我曾經在網路上被欺負，因此我才成為了道德駭客。

您對有興趣成為滲透測試員的人有什麼建議？

充滿激情地追求它。