零基础自学白帽黑客完整资源合集

这是一份为你精心整理的2026年零基础自学白帽黑客（网络安全）完整资源合集。

结合最新的行业趋势和搜索到的权威资料，我将从学习路线、必备工具、实战靶场、书籍文档、视频教程五个维度，为你提供一套“保姆级”的资源清单。

🗺️ 一、 核心学习路线图 (L1-L4 进阶版)

不要试图一口吃成胖子，按照这个顺序学习最科学：

*   L1 基础阶段（地基）：

    *   计算机网络： 重点掌握 TCP/IP 协议、HTTP/HTTPS 协议（请求头/响应头）、IP地址与端口、DNS解析过程。

    *   操作系统： 熟练使用 Linux（Kali Linux）常用命令（文件操作、权限管理、进程管理）。

    *   Web基础： 了解 HTML/CSS/JS 前端代码，以及 PHP/Python 后端基础（能看懂代码逻辑即可）。

*   L2 渗透测试阶段（核心）：

    *   OWASP Top 10 漏洞： 深入理解 SQL注入、XSS（跨站脚本）、CSRF、文件上传、命令执行、弱口令等原理。

    *   工具使用： 熟练掌握 Burp Suite、Nmap、Sqlmap、Xray、Dirsearch。

*   L3 实战与进阶（分流）：

    *   Web安全方向： 代码审计（Java/PHP）、WAF绕过、中间件漏洞。

    *   内网渗透方向： 域渗透（AD）、横向移动、权限提升。

    *   CTF夺旗赛： 参加 CTF 比赛锻炼解题思维（Pwn/Reverse/Crypto）。

*   L4 职业化（变现）：

    *   SRC挖掘： 在补天、漏洞盒子等平台提交漏洞获取赏金。

    *   护网行动： 参与国家级攻防演练（红队/蓝队）。

🛠️ 二、 必备“神兵利器” (工具包清单)

工欲善其事，必先利其器。以下是2026年主流的工具清单：

类别   核心工具   用途说明

操作系统   Kali Linux   渗透测试专用系统，内置数百种工具，必装。

抓包改包   Burp Suite   Web安全最重要的工具，用于拦截、修改数据包。

漏洞扫描   Xray / AWVS   自动化漏洞扫描，Xray适合联动，AWVS适合全面扫描。

信息收集   Nmap / Fofa   Nmap扫端口，Fofa/Quake搜资产。

SQL注入   Sqlmap   自动化SQL注入工具，新手必备。

目录扫描   Dirsearch / Feroxbuster   扫描网站后台、隐藏目录。

密码破解   Hydra / Burp Intruder   暴力破解弱口令。

流量分析   Wireshark   抓包分析网络流量，排查攻击痕迹。

🎯 三、 实战靶场与练习平台 (拒绝纸上谈兵)

警告：严禁对未授权的真实网站进行测试！请在以下合法平台练习。

1.  本地靶场（搭建在自己电脑上）：

    *   DVWA (Damn Vulnerable Web App)： 全球最经典的入门靶场，包含各种常见漏洞。

    *   Pikachu： 国产靶场，中文界面，非常适合新手理解漏洞原理。

    *   SQLi-Labs： 专门练习SQL注入的靶场，关卡设计精妙。

2.  在线实战平台（刷题）：

    *   TryHackMe (THM)： 全球最适合新手的平台，有手把手的引导式教学（推荐）。

    *   Hack The Box (HTB)： 难度较高，适合进阶，模拟真实企业环境。

    *   CTFHub / Bugku： 国内优秀的CTF刷题平台，涵盖Web、Pwn、Crypto等方向。

3.  漏洞众测平台（实战赚钱）：

    *   补天平台 / 漏洞盒子： 国内主流的SRC平台，适合新手提交漏洞换取赏金。

📚 四、 必读书籍与文档 (理论升华)

1.  入门首选：

    *   《白帽子讲Web安全》（吴翰清著）：行业圣经，通俗易懂，建立安全世界观。

    *   《Web安全深度剖析》：结合工具与原理，实战性强。

2.  进阶必读：

    *   《黑客攻防技术宝典：Web实战篇》：详解OWASP Top 10。

    *   《SQL注入攻击与防御》：深入理解数据库安全。

    *   《内网安全攻防》：进阶内网渗透必读。

3.  编程辅助：

    *   《Python编程：从入门到实践》：学习编写简单的POC（漏洞验证脚本）。

📺 五、 视频教程与社区资源

1.  视频教程（B站/慕课网）：

    *   搜索关键词：“Web安全攻防实战”、“Kali Linux渗透测试”、“SQL注入详解”。

    *   推荐关注：FreeBuf、看雪学院、安恒信息等官方账号发布的培训视频。

2.  技术社区（查缺补漏）：

    *   CSDN / 博客园： 搜索具体漏洞的复现文章。

    *   先知社区 / 安全客： 高质量的技术文章和漏洞分析。

    *   GitHub： 搜索各类开源安全工具（如 awesome-hacking 列表）。

💡 给新手的特别建议

1.  法律红线： 永远记住《网络安全法》。未授权的渗透测试就是违法，不要出于好奇心去扫描政府、教育或企业网站。

2.  不要做“脚本小子”： 工具只是辅助，原理才是核心。如果不懂SQL注入的原理，工具报错时你将束手无策。

3.  学会搜索： 遇到报错（Error），直接复制错误代码去 Google 或 百度 搜索，99%的问题别人都遇到过。

4.  坚持记录： 使用 Notion 或 Obsidian 建立自己的知识库，记录每一个学到的漏洞类型和Payload。

这份合集涵盖了从入门到就业的全方位资源，建议你先搭建好本地靶场（DVWA），然后配合视频教程开始第一关的练习。祝你学习顺利！