名詞解釋 ——

白帽子：描述的是正面的黑客,他可以識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。這樣，系統將可以在被其他人(例如黑帽子)利用之前來修補漏洞；以上解釋來自百度百科。

而我今天要說的白帽子是指公司或機構內專門負責WEB安全方面的工程師，簡稱白帽子。

眾所周知，隨著新聞不斷的爆出用戶系統數據泄露事件，越來越多的公司和機構開始重視網絡安全，大公司紛紛為這個工作設置了專門的職位。越來越多的人開始關注WEB安全方面的信息和知識。

那么，對于剛畢業無任何工作經驗的大學生或是無相關Web安全知識想要轉行的菜鳥們來說，能否自學成為一名合格的白帽子工程師呢？

通過咨詢在此行業打拼了幾年的老人，以及相關IT培訓機構的老師們，總結出了以下幾點，供大家自行決定是否采用。

1. 純0基礎的人想要入行，從Web安全入門，理解SQL注入和XSS這兩大類漏洞原理，可以看一些參考書籍，書籍名字可以自行網上搜索，找那些購買量和推薦量高，試讀的時候自己讀的下去的即可。

2. 死磕烏云，每天過一遍新公開漏洞，看思路，記關鍵點，看烏云知識庫內基礎內容。可以先關注某一細分領域，關注烏云上此類內容，看標題猜詳細漏洞內容，漏洞公開后看與自己想法是否正確，熟悉后換下一細分領域，以此進行。

3. 思想掌握后，開始熟悉HTML和JS，上網養成多按F12的習慣，多玩Console。

4. 學點編程語言，可選擇的有PHP和Python(Py2)，第一選PHP，因為PHP環境最好打，網站最多，入門最快。其次是Python，因為工具都是用它寫的。

5. 學會兩個工具SOLmap和BurpSuite。

以上，Web方面的漏洞則基本夠用了。

如果學到編程語言時遇到障礙，可以多參考網上的付費精品視頻，或是選擇線下培訓班去學習，切記：代碼是一個勤快的活計，多看不管用，一定要手動多敲幾遍。

上述都掌握后，還需多關注最新爆發的漏洞，看完原理，自己寫EXP，能針對性的了解到各種CMS和系統的脆弱性，可以針對性的寫出利用工具。那么，你就已經離一名合格的白帽子不遠了。