零基礎到精通Web滲透測試的學習路線

2022-01-26 烏雲安全

熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。

1.通過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google/SecWiki;

2.閱讀《精通腳本黑客》,雖然很舊也有錯誤,但是入門還是可以的;

3.看一些滲透筆記/視頻,了解滲透實戰的整個過程,可以Google(滲透筆記、滲透過程、入侵過程等);

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關工具的使用。

1.了解該類工具的用途和使用場景,先用軟體名字Google/SecWiki;

2.下載無後門版的這些軟體進行安裝;

3.學習並進行使用,具體教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;

掌握滲透的整個階段並能夠獨立滲透小型站點。

1.網上找滲透視頻看並思考其中的思路和原理,關鍵字(滲透、SQL注入視頻、文件上傳入侵、資料庫備份、dedecms漏洞利用等等);

2.自己找站點/搭建測試環境進行測試,記住請隱藏好你自己;

3.思考滲透主要分為幾個階段,每個階段需要做那些工作,例如這個:PTES滲透測試執行標準;

4.研究SQL注入的種類、注入原理、手動注入技巧;

5.研究文件上傳的原理,如何進行截斷、雙重後綴欺騙(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,參照:上傳攻擊框架;

6.研究XSS形成的原理和種類,具體學習方法可以Google/SecWiki,可以參考:XSS;

7.研究Windows/Linux提權的方法和具體使用,可以參考:提權;

關注安全圈的最新漏洞、安全事件與技術文章。

1.通過SecWiki瀏覽每日的安全技術文章/事件;

2.通過Weibo/twitter關注安全圈的從業人員(遇到大牛的關注或者好友果斷關注),天天抽時間刷一下;

3.通過feedly/鮮果訂閱國內外安全技術博客(不要僅限於國內,平時多注意積累),沒有訂閱源的可以看一下SecWiki的聚合欄目;

4.養成習慣,每天主動提交安全技術文章連結到SecWiki進行積澱;

5.多關注下最新漏洞列表,推薦幾個:exploit-db、CVE中文庫、Wooyun等,遇到公開的漏洞都去實踐下。

6.關注國內國際上的安全會議的議題或者錄像,推薦SecWiki-Conference。

學習Windows/Kali Linux基本命令、常用工具;

1.熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等;

2.熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;

3.熟悉Kali Linux系統下的常用工具,可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;

4.熟悉metasploit工具,可以參考SecWiki、《Metasploit滲透測試指南》。

學習伺服器環境配置,並能通過思考發現配置存在的安全問題。

1.Windows2003/2008環境下的IIS配置,特別注意配置安全和運行權限,可以參考:SecWiki-配置;

2.Linux環境下的LAMP的安全配置,主要考慮運行權限、跨目錄、文件夾權限等,可以參考:SecWiki-配置;

3.遠程系統加固,限制用戶名和口令登陸,通過iptables限制埠;

4.配置軟體Waf加強系統安全,在伺服器配置mod_security等系統,參見SecWiki-ModSecurity;

5.通過Nessus軟體對配置環境進行安全檢測,發現未知安全威脅。

選擇腳本語言Perl/Python/PHP/Go/Java中的一種,對常用庫進行編程學習

1.搭建開發環境和選擇IDE,PHP環境推薦Wamp和XAMPP,IDE強烈推Sublime,一些Sublime的技巧:SecWiki-Sublime;

2.Python編程學習,學習內容包含:語法、正則、文件、網絡、多線程等常用庫,推薦《Python核心編程》,不要看完;

3.用Python編寫漏洞的exp,然後寫一個簡單的網絡爬蟲,可參見SecWiki-爬蟲、視頻;

4.PHP基本語法學習並書寫一個簡單的博客系統,參見《PHP與MySQL程序設計(第4版)》、視頻;

5.熟悉MVC架構,並試著學習一個PHP框架或者Python框架(可選);

6.了解Bootstrap的布局或者CSS,可以參考:SecWiki-Bootstrap;

能獨立分析腳本源碼程序並發現安全問題。

1.熟悉源碼審計的動態和靜態方法,並知道如何去分析程序,參見SecWiki-審計;

2.從Wooyun漏洞庫上尋找開源程序的漏洞進行分析並試著自己分析;

3.了解Web漏洞的形成原因,然後通過關鍵字進行查找分析,參見SecWiki-代碼審計、高級PHP應用程式漏洞審核技術;

4.研究Web漏洞形成原理和如何從源碼層面避免該類漏洞,並整理成checklist。

能建立自己的安全體系,並能提出一些安全建議或者系統架構。

1.開發一些實用的安全小工具並開源,體現個人實力;

2.建立自己的安全體系,對公司安全有自己的一些認識和見解;

3.提出或者加入大型安全系統的架構或者開發;

相關焦點

  • 零基礎如何學習Web安全滲透測試?這可能是史上最詳細的自學路線圖!
    這個情況其實並不是書籍或其他學習資源出了問題,而是你本身的學習路線與知識體系出了問題,為什麼呢?」,一定需要一個科學合理、循序漸進、第一原理驅動的學習路線,千萬不要「瞎折騰」,不要急著學「滲透」,更不要一上來就用「工具」。
  • 好課優選:超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P)
    優選好課:超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P)高清完整(有需要的找我,你就可以擁有這個課程)
  • python web學習路線知識點分享!
    如果你想做python web相關的東西,下邊這些東西可以參考學習:基礎:linux命令,計算機網絡,python語言,http協議,基礎算法數據結構python: 內置庫,爬蟲庫,web框架,資料庫接口等。
  • web滲透測試對信息收集的方法介紹
    什麼是web滲透測試?一般是指通過模擬黑客的攻擊手法,對計算機網絡系統進行安全評估測試,如果發現系統中存在漏洞,向被測試系統的所有者提交滲透報告,並提出補救措施。這一章將通過滲透測試Web應用和伺服器,向大家介紹滲透測試的方法和技巧。
  • Web滲透測試從入門到入獄?我該如何選擇?
    而學習滲透測試,就是在學習安全漏洞的攻擊手段和防禦方法。很多人對滲透感興趣,就自己找一些相關書籍來看,也在電腦上折騰了很久,最後卻感覺沒啥收穫,或者只是懂一些理論上的「皮毛」。❗❗你真的懂Web滲透測試嗎?今天就從四個方向詳細聊一聊,如何成為一名真正的Web滲透測試工程師。
  • 滲透測試學習書籍推薦
    該書雖比《Web安全攻防:滲透測試實戰指南》少了56頁,但是就Web滲透的內容來說會更加深入、細緻,適合有一定計算機基礎的人閱讀學習。這樣一位身經百戰的安全專家,我能感覺到他在努力地講解web滲透的技術,但是20年的經歷使得他的安全視角變得非常高,不會拘泥於其中的技術細節,更多的是其安全觀的闡述和安全理論的表達。
  • 超新CTF培訓web網絡安全基礎入門滲透測試教程網盤資源百度雲分享
    超新CTF培訓web網絡安全基礎入門滲透測試教程 完整高清課程分享(全網課程都有,快來諮詢吧!!!)
  • 2021暗月滲透測試全棧學習班
    第一天 HTML基礎學習5課01 HTML基礎常用標籤學習02 HTML基礎 form表單與input標籤使用03 HTML基礎 a標籤、img標籤、table表格使用04 HTML基礎單選框、複選框、下拉選擇框、文本域使用05 HTML基礎 列表標籤和框架的使用第二天 div+css學習11課div+css基礎學習01_引用樣式和選擇器的使用div+css基礎學習02_背景 邊框 文字
  • 網盤分享超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P)完整課程資源
    雕題黑齒,得人肉以祀,以其骨為醢些我們不得不面對一個非常尷尬的事實,那就是, 網盤分享超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P)完整課程資源因何而發生? 了解清楚網盤分享超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P)完整課程資源到底是一種怎麼樣的存在,是解決一切問題的關鍵。 在這種困難的抉擇下?
  • 2020暗月滲透測試全棧學習班
    文本的學習div+css基礎學習03_列表和超連結偽類div+css基礎學習04_盒子模型 margin padding 的使用div+css基礎學習05_float浮動 塊級元素 行內元素div+css基礎學習06_溢出和定位的使用div+css基礎學習07_實戰阿里雲src響應中心頭部div+css基礎學習08_實戰阿里雲src響應中心home-pagediv+css基礎學習09_實戰阿里雲src
  • 常規web滲透測試漏洞合集
    修復建議檢測方式查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar ,如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞!  1、建議用戶到官方獲取最新補丁或者最新版本程序!
  • Python入門學習路線
    對於一個零基礎的想學習python的朋友來說,學習方法很重要, 學習方法不對努力白費 一定要有一個正確的學習線路與方法。路線一:Python基礎知識點:【Linux基礎】【Python基礎語法】【Python字符串】【文件操作】【異常處理】【Python面向對象】【項目實戰】Python基礎循序漸進,可以幫助學習者建立正確的編程思想,具備基礎的編程能力;學習路線二:Python高級編程
  • 2021年最新整理web前端學習路線(內附學習教程視頻連結)
    本學習路線包含了千鋒教育web前端學科全階段視頻教程(從入門到精通),涵蓋了你所需要掌握的所有前沿技術及知識點!
  • 天津web前端培訓從入門到精通,我是怎麼熬過來的
    面對市場上的人才缺口,各個企業開始提高薪資水平,這吸引了一大部分的朋友紛紛想要去學習,但web前端學習該怎麼去從入門到精通呢?今天誠築說小編和大家聊一聊。 一:入門前期——興趣愛好 學習任何知識zui重要的都是興趣,如果經過一段時間的學習感覺不喜歡,強迫自己學習是很痛苦的,效果也不會好,前端入門會相對於容易,但是也需要系統的認真學習,在打好基礎後堅持學習,離成功也只是時間問題。
  • Kali Linux Web滲透測試手冊(第二版) - 3.1 - 使用DirBuster尋找敏感文件和目錄
    最近啥都學,學的腦子亂,準備理清下思路分享一下信息收集,至少目前是我的方法,信息收集再好,也奈何不了各種難題,正所謂信息收集兩小時,滲透測試五分鐘,GG...還是要努力學習硬知識,知識就是硬道理!!!另外,各位老哥需要什麼資源的話,可以給我留言,我有的話給你分享。
  • 昆明學德語,從零基礎到精通,興趣的培養是學習德文的動力
    德語培訓昆明學德語,從零基礎到精通,興趣的培養是學習德文的動力。俗話說得好:「萬事開頭難」,特別是面對自己從來沒有接觸過的語言來說更是如此。那麼,對於德語的學習有什麼好的小技巧呢?下面讓佩文教育給大家分享幾個小方法,供大家參考。一開始學德語的時候你要記住的語法規則和好的單詞識別是你學好德語的基礎。有的時候想要標準的發音是很難的。此時,你需要一個發音標準、純正的老師來及時糾正你的錯誤,這會給你的口語帶來很大的好處。學好元音和輔音。德語的元音和輔音與英語相似。首先你學好發音,然後你就可以輕鬆地學會單詞並正確地發音。
  • AI教程,從零基礎到精通
    課程大綱課程名稱:AI教程 從零基礎到精通 課程單位:逸仙教育課程類型:專業必修課學習成果:可從事平面設計、廣告設計設計等相關專業使用人群:0基礎入學,想從事平面設計、廣告設計設計等相關工作的人員想成為專業設計師嗎來這裡改變你的人生只要你有瘋狂的夢想那麼你一定就會創造輝煌我們的AI教程已上線,荔枝微課搜索「鐘聲大學」立即報名學習!
  • 分享我一直學習PS的自學教程乾貨,從零基礎到精通,價值不菲
    今天給大家整理一套小編零基礎入門到精通的視頻教程,包含視頻教程、筆刷、高清背景圖片、PS軟體快捷鍵和最新版PS軟體全部打包給大家學習。包含零基礎的PS教程、摳圖、調色、修圖教程新手學習常用高清背景素材100多種常用PS畫筆筆刷1千多種最新軟體版本下載
  • 2020最新最全網絡安全學習路線|建議收藏
    如何去學習網絡安全?根據知了堂推出了最新的課程體系——知了匯智網絡安全V2.0課程,知了姐整理出的最新學習路線送給大家:1、滲透基礎階段學習目標:掌握滲透基礎課程、如通信原理、協議包分析、流量分析、能夠架構安全、了解安全設備的策略和防護機制。
  • 超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P)(最新課程知識資源分享大全)
    你需要的,我恰好有《超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P《超新CTF培訓web網絡安全基礎入門滲透測試教程(高清1080P)》:幫你從海量信息中省時間、找資源、獲價值| 剛好有可以諮詢了解哦!,感興趣的朋友可以加幑了解諮詢哦!   歡迎喜歡學習的朋友加入,這裡有一群愛學習的夥伴圈子,陪你學習,共同成長進步!