如何提高安全性？学习像黑客一样思考的三种方法

黑客只是一种工具；一种可以在道德上使用的技能。世界上有数百人每天都在这样做。由于黑客攻击，他们可以揭示各种应用程序的安全漏洞和漏洞，他们彻底记录它们，然后将它们传递给应用程序的开发人员。简而言之，它们有助于改善网络安全世界。世界上几乎每所大学都有自己的此类专家团队。

您还可以使用黑客技术使您的服务器更加安全。通过扮演攻击者的角色，您将开始以不同的方式查看您的基础设施和数据。漏洞在哪里，你怎么能躲在通常的防线后面？以这种方式查找安全漏洞可以让您以多种方式改进系统。也许您甚至会发现您不知道的进程可能会危及您的数据。

但是你怎么能学会像黑客一样思考呢？我将向您展示三种方法，您可以使用它们来学习黑客的基本能力，安全地练习它们并利用它们为您带来好处。

1）兵棋推演。在真实服务器上练习黑客攻击

黑客攻击需要一组特定的能力。你需要知道程序、CPU、网络、权限和其他重要的东西是如何工作的，一些编程语言的知识也会派上用场。但这不是什么大问题。所有信息都可以在 Internet 上轻松访问。

也可以在线研究最常见的攻击和漏洞利用类型。其中大部分都经过仔细记录。您可以使用著名的数据库 OWASP  （Open Web Application Security Project）。它受到全球许多安全专家的高度评价，因此您至少应该尽可能快速浏览它。

但是一旦你掌握了理论，你在哪里可以安全地练习你新发现的黑客技能而不违法？在所谓的战争游戏中。它们由一组黑客挑战组成，这些挑战使用属于社区的真实服务器。最著名的是 Over The Wire、  Hack This Site、  Smash The Stack  a  We Chall。提到的最后一个作为某种网关，因此在 We Chall 上有许多与其他兵棋推演的链接。有很多可供选择。

兵棋推演让您可以使用真实世界黑客可以使用的真实工具和流程来练习黑客攻击。由于服务器旨在被黑客入侵，因此您可以在安全合法的环境中练习类似黑客的思维。兵棋推演中的任务通常是获取下一级的访问密码或保存在服务器上的其他一些敏感（和受保护）信息。

“水平”或挑战是越来越多的困难的一部分。因此，虽然第一个挑战只要求您能够通过 SSH 访问服务器并打开一个文本文件，但后面的挑战需要您积极寻找代码中可能存在的安全漏洞甚至错误，并克服基本的安全功能。兵棋推演是通往互联网安全世界的绝佳门户，即使对于那些在该领域还没有丰富经验的人来说也是如此——无需任何编程语言知识就可以完成更简单的挑战。

2）你在寻找自由吗？这些网络应用程序不做手持操作

如果您被划分级别的结构推迟了兵棋推演，您会很高兴听到有更多自由形式的黑客培训工具可用。有几种方法可以在没有任何帮助的情况下学习黑客攻击。这很重要，因为它教会了你在没有任何外部帮助的情况下寻找错误的现实。

这种方法可以用例如 Damn Vulnerable Web Application来实践  (DVWA) 来实践这种方法。您需要做的就是下载包含 Web 应用程序的存档，并在快速设置后继续查找安全漏洞。谷歌甚至提供了类似的服务。随意尝试破解其名为 aptly  Gruyere的应用程序 ——它确实充满了漏洞，就像著名的奶酪一样。

3) 最好的动力是对胜利的渴望。很多钱

兵棋推演中的所有困难挑战现在都是儿戏？黑客对你来说很自然？恭喜，您刚刚到达终点线——您现在可以像黑客一样思考了。

现在，如何处理新发现的知识？

首先，您应该尝试将其用于您自己或您的公司。当您知道黑客可以实际使用哪些攻击来针对它们时，您可以更好地保护您的基础设施或数据。尝试对您自己的服务器发起攻击，您很快就会发现您的安全性是否存在漏洞。

使用新的黑客技能的另一种通常更有利可图的方法是参加黑客比赛。这些比赛在世界各地举行，让黑客们应对各种极其困难的挑战。

其中两个定期举办的比赛是 Facebook Hacker Cup  nebo  Pwn2Own。除了良好的感觉，一些认可和吹牛的权利，你甚至可以从中获得大量金钱。

今年的 Pwn2Own 已经 向 韩国黑客 Jung Hoon Lee支付了 225,000 美元的奖金，向其他成功的黑客支付了 332,000 美元的奖金。因为他们能够揭露可能影响全球数百万计算机用户的故障。

这些巨额资金来自选择支持此类竞赛的公司。尽管它很昂贵，但它得到了回报。如果现实世界的犯罪黑客发现并滥用安全漏洞，他们在金钱和客户信任方面的损失会更严重。

这就是为什么世界各地的许多公司，无论其规模大小，都会支付所谓的漏洞赏金。它们只是为发现错误和闯入安全系统而支付的现金奖励。即使是谷歌或微软等科技巨头现在也使用它们。一些安全专家像这样通过寻找公司代码中的错误来谋生。如果您认为自己具备所需的条件，可以在 Bugcrowd 站点上的列表中寻找合适的漏洞赏金。