该如何开始挖掘web漏洞?

最新推荐文章于 2024-07-02 11:13:18 发布
最新推荐文章于 2024-07-02 11:13:18 发布
阅读量459 收藏 5
点赞数
分类专栏: 网络安全 文章标签: web安全 网络安全 计算机网络 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77147728/article/details/130296195
版权
本文分享了web安全学习路线,包括基础知识、渗透环境搭建和常用工具。强调了Google Hacker语法在漏洞挖掘中的重要性,以及信息采集对渗透测试的影响。介绍了如何挖掘高质量漏洞,提出手挖和代码审计是提升漏洞质量的关键。还提供了免费的网络安全学习资料。
摘要由CSDN通过智能技术生成

我的web学习路线和方法

渗透是一个庞大知识体系,难就难在没有方向,不知如何学习,到了某个地步停滞不前了,这边写下我个人看法

web安全知识学习(理论期)

web基础/渗透环境搭建/常用工具。

在这里插入图片描述

1.web方面的基础知识

比如你去学习HTML等相关前端语言。另外端口也可以学习一下3306,3389等端口的利用。(具体可以参考漏洞银行学习路线内容)

2.渗透环境的搭建也是必不可少的.

最快捷的方法就是装一个kalilinux的虚拟机,对于小白来说最好不过了,不需要配置过多的环境和工具,系统全部自带,对于web安全研究人员来说kali是一个不错的选择(网上教程很多,不再列举)

3.常用工具

比如注入工具学习sqlmap,以及burp,MSF,nmap,beef,AWVS,wk,等工具,来辅助完成渗透以及方便渗透人员。(工具需要配置环境,例如sqlmap需要python环境才能够使用,小白配置起来比较鸡肋,百度相关教程)SQLMAP | 超强大的注入工具

owasp top 10漏洞

注入失效身份验证和会话

最低0.47元/天 解锁文章
渗透测试
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web漏洞挖掘与利用
weixin_53872203的博客
04-04 4840
本文章仅供学习分享使用,不做任何违法行为!!! 一.漏洞挖掘 sql注入漏洞: 判断一个网站是否存在一个sql注入的漏洞?Id=1 如果判断出来存在sql注入漏洞,则进判断sql注入的闭合字符 ?id=1’and 1=1 ?id=1’and 1=2 判断列数 ,采用二分法进行判断 order by 10 判断显示位,假设显示位为3,则order by 1,2,3 爆数据库,在爆数据库的前提下,爆一下网站的版本 Order by 1,database(),version() 爆表名 gr...
WEB漏洞挖掘技术
热门推荐
龙哥盟
02-19 4万+
前言漏洞挖掘技术一直是网络攻击者最感兴趣的问题,漏洞挖掘的范围也在随着技术的提升而有所变化.在前期针对缓冲区溢出 格式化字符串 堆溢出 lib库溢出等技术都是针对ELF文件(Linux可执行文件)或者PE文件(Win可执行文件)的漏洞挖掘技术.在针对ELF文件 PE文件(.exe与.dll)的漏洞挖掘过程中,出现了很多的漏洞挖掘技术,但是针对PE文件 ELF文件的漏洞挖掘始终停留在了黑盒测试(包括单
Web渗透思路及src漏洞挖掘思路
最新发布
Varin
07-02 518
网络渗透测试,或简称“Web渗透”,是一种系统性、有计划的对目标网站进行安全评估的过程。其核心目标是识别和利用网站的安全漏洞,以提升整体网络安全。文章通常会从理解目标环境开始,包括信息收集(如域名、子域、IP地址等),接着是应用扫描,寻找可能的漏洞点。然后,通过技术手段尝试利用这些漏洞,如SQL注入、XSS攻击等,以获取更多权限或数据。最后,报告发现的问题,并提出修复建议,帮助组织加强防御。整个过程强调合法授权和道德规范,旨在提升网络安全意识和防护能力。
WEB漏洞挖掘——思路指南
weixin_59191169的博客
02-29 1075
本篇主要记录了WEB漏洞挖掘学习过程中的信息收集部分,web渗透最重要的便是信息收集,希望以下内容能够给予同在漏洞挖掘学习中的小伙伴一些帮助,若有不足之处可以告诉我,大家一起努力进步。大佬路过也请多多指点!
Web漏洞挖掘
Daisy花园
07-14 4383
写这篇文章不是为了去攻击其他的网站,只是为了重视web安全Web安全的分类1. XSS攻击什么是XSS攻击xss攻击:cross-site scripting 故名思议,跨站点脚本注入。是指在一些页面通过注入一些script脚本或者actionScript脚本,而达到攻击的目的。XSS攻击的类型 反射型XSS(非持久性XSS),通过注入一些脚本 存储型XSS(持久型XSS),能存储在服务器端,比如
实战web漏洞挖掘小技巧
yggcwhat
12-08 1056
实战web漏洞挖掘小技巧
web漏洞挖掘经验.pdf
12-12
Web 漏洞挖掘经验总结 在 Web 漏洞挖掘中,信息收集是非常重要的一步。以下是 Web 漏洞挖掘经验总结的详细知识点: 1. 信息前期收集: * 域名信息收集:使用 Whois 查询、站长工具网、爱站工具网等工具可以查询...
web漏洞挖掘快速入门1
08-08
3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文
web漏洞挖掘快速入门.pdf
03-21
web漏洞挖掘快速入门,涵盖完整的漏洞挖掘流程,从前期的信息搜集一直到后渗透测试,是新手入门挖洞的理想指南。
web安全&漏洞挖掘.zip(中文)
10-15
在“Web安全&漏洞挖掘.zip”这个压缩包中,我们可以找到一系列关于网络安全、特别是Web安全领域的资源,包括漏洞挖掘的思想、Web应用的业务与逻辑缺陷分析、模糊测试的方法以及Web安全的基础知识。以下是对这些主题...
web漏洞挖掘思维导图
12-21
适合想学习web知识的人
Web逻辑漏洞挖掘快速入门到放弃
02-20
Web逻辑漏洞挖掘 身份认证安全、业务一致性安全、业务数据篡改、密码找回等各种漏洞案例。
WEB漏洞挖掘技术总结
weixin_33802505的博客
03-22 281
漏洞挖掘技术一直是网络攻击者最感兴趣的问题,漏洞挖掘的范围也在随着技术的提升而有所变化。在前期针对缓冲区溢出、格式化字符串、堆溢出、lib库溢出等技术都是针对ELF文件(Linux可执行文件)或者PE文件(Win可执行文件)的漏洞挖掘技术。   在针对ELF文件、PE文件(*.exe与*.dll)的漏洞挖掘过程中,出现了很多的漏洞挖掘技术,但是针对PE文件、ELF文件的漏洞挖掘始终停留在了黑盒测...
网站漏洞挖掘思路
AzulSystems的博客
03-10 218
也可以修改的地方不限于找回密码的数据包,比如修改资料的地方也可能存在这样的漏洞。:使用邮箱重置密码时,服务端向邮箱发送一个重置密码的链接,链接中包含当前用户的身份信息和一个随机生成的token信息,如果未对token值进行验证或是验证后不失效,我们就可以通过修改用户名或用户ID来重置任意账号密码。SQL注入:SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的”数据”拼接到SQL语句中后,被当作SQL语句的一部分执行,从而导致数据库被增、删、改、查的危害。
记一次web漏洞挖掘随笔
渗透测试研究中心
02-22 611
最近挖了一些漏洞。虽然重复了,但是有参考价值。这边给大家分享下。  漏洞重复还是很难受的,转念一想,人生从不是事事如人意的,漏洞重复忽略,不代表失败。先来后到很重要,出场顺序很重要。  1.某站rce 忽略理由:不在范围内 作者神父&me 感谢神父带我  测试域名:https://***.***:8089/  同时存在CVE-2017-11357 CVE-2019-18935...
Web挖掘技术
weixin_33966095的博客
06-29 186
  一、数据挖掘 数据挖掘是运用计算机及信息技术,从大量的、不全然的数据集中获取隐含在当中的实用知识的高级过程。Web 数据挖掘是从数据挖掘发展而来,是数据挖掘技术在Web 技术中的应用。Web 数据挖掘是一项综合技术,通过从Internet 上的资源中抽取信息来提高Web 技术的利用效率,也就是从Web 文档结构和试用的集合中发现隐含的模式。 数据挖掘涉及的学科领域和方法非常多,有多种...
WEB漏洞挖掘:SQL注入与绕过策略解析
演讲者通过实例分析了SQL注入的产生原因、常见案例,并提到了其他类型的WEB漏洞,如XSS/CSRF。同时,演讲者强调了参数化查询、过滤、编码等防御策略的重要性,并讨论了如何通过编码技巧绕过这些防御措施。此外,还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值