我不是安全顾问，但我和他们一起工作过（顺便和警察一起工作，你的类比更像是警察表演而不是现实），据我所知，他们中没有一个人花时间进行非法黑客攻击。

只有在您没有许可的情况下，黑客行为才是非法的，但是您有权黑客攻击的服务器与您没有黑客攻击的服务器在技术层面（即安全性方面）没有区别。如果您正在为一家公司工作或与一家公司合作，那么尝试访问他们的服务器（在他们事先书面理解和许可的情况下）是很好的，并且与选择随机系统一样真实世界的经验。

如果你没有理由不能设置自己的托管服务器并试图破坏它们 - 或者伙计，你们两个人各自设置了一个服务器，获胜者是第一个在其他系统中发现漏洞的人。这具有从双方看到它的双重优势。

这个问题的答案很像任何“我如何成为* * 专家”问题的答案......它最终归结为时间和经验。

但是，对于某些细节，如果可以选择大学/大学，请查看处理信息安全、计算机取证和信息保障的程序。所有这些都将为您提供应用程序安全开发的坚实背景。

另外，请查看这些法律的细节……例如，您可以在大多数地方合法地攻击您自己网络上的服务/应用程序/系统（假设您拥有正在使用的设备和网络基础设施）。只要您不在远程系统上运行“恶意”代码或共享它，在大多数情况下，您可以自由修改/重用代码的开源应用程序也会对漏洞测试开放。但是同样，法律因州/国家而异。

与往常一样，阅读是一个很好的来源……不仅仅是“安全”本身，还有一般的编码原则。背景知识总是一种资产。像“hackthissite.com”这样的网站也提供了一些实践指南和“挑战”。不过，那根本不是真正的“应用程序安全”。

除了Jetti和Jon Hopkins的回答之外，还有一些组织和工具旨在教授网络安全的基础知识。开放式Web 应用程序安全项目 (OWASP)就是一个典型的例子。

OWASP 在其网站上有大量关于各种安全漏洞和技术的文档，以及创建安全软件和在现有软件中查找漏洞的方法。他们还生产了一个称为WebGoat的工具，这是一个不安全的 JEE 应用程序，您可以托管并了解破坏或破坏 Web 环境的不同技术。

我也不在安全领域工作，但是没有什么可以阻止您使用几个路由器模拟互联网并在家庭网络上切换，可能除了一些高价安全硬件之外。正如 Jon 所说，您可以轻松地在家庭网络上设置 IIS、Apache 或任何您想要的 Web 服务器。还有一些练习应用程序，例如Hacme bank，您可以在上面练习基本的 Web 漏洞。