当你想快速进入一个行业的时候,第一步不是直接开始学习,而是梳理这个行业的知识体系,或者你这个行业所需要的掌握的必备能力,然后一步一步进行拆解。
这样的好处在于,第一能够清晰的理清楚你需要真正掌握的技能点,第二能够增强执行力,因为当你拆解成各个能力模块的时候,你的执行力会提高,因为你知道你需要每天做什么。
因此,为了让你快速入门Web安全,老师将在课程中分享我们针对上百家企业的渗透测试工程师岗位做了深度调研,总结出的Web安全学习路径,帮大家建立Web安全整体知识体系。
01.工具环境准备
渗透测试最开始是需要你把最基础的环境搭建好的,因为你之后会经常用到,如下:
kail linux配置 ,内网靶场虚拟环境搭建,云服务器,Docker
02.渗透测试基础
学习渗透测试最基础的知识你是一定要知道的,如下:网络协议基础,信息收集,web安全基础等
03.漏洞攻击
渗透测试的话,是需要有web安全的基础在的,像基础的top10,你肯定是需要知道大部分的。像常见的漏洞你肯定也要知道,比如:
弱口令密码破解,未授权访问漏洞,Weblogic漏洞,Jboss漏洞,Struts2漏洞,ThinkPHP漏洞,SpringBoot漏洞,Shiro漏洞,Fastjson漏洞,Apache log4j漏洞等。
04.渗透测试框架
这个是基础的渗透测试框架,也很重要,像Metasploit渗透测试框架,CobaltStrike渗透测试框架,渗透测试框架拓展应用和流量隐藏等。
05.内网信息收集
信息收集是渗透测试非常重要的部分,你前期的信息收集越多,对你后面进行渗透帮助就越大,信息收集主要包含内网环境分析,内网信息收集,工作组密码凭证获取,域环境密码凭证获取等。
06.内网代理隧道搭建
这个是和上面密不可分的,像内网文件传输,Socks代理,HTTP代理,DNS隧道,ICMP隧道等,都是非常重要的。
07.权限提升
像提权这个应该不用我来强调它的重要性吧,你不拿到权限怎么进行后面的内网横向移动等操作呢。像操作系统提权,渗透测试框架提权,域环境提权,应用程序提权等。
08.内网横向移动
包含横向移动简介,内置工具横向移动,外部工具横向移动,PASS THE HASH
09.权限维持
包含Windows权限维持,Linux权限维持,域环境权限维持
10.痕迹清除
包含痕迹清除简介,Windows痕迹清楚,Linux痕迹清除等。
11.绕过杀毒软件
包含免杀测试环境,常用免杀工具使用介绍,shellcode加载器,shellcode免杀,powershell免杀等。
如果上述知识掌握的都差不多那么你就算入门渗透测试了。
因此,为了让你快速入门渗透测试安全,老师将在课程中分享我们针对上百家企业的渗透测试工程师岗位做了深度调研,总结出的渗透测试学习路径,帮大家建立渗透测试整体知识体系。
渗透测试的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。所以,这篇类似学习路线的文章,希望可以帮助刚入门的萌新们少走弯路。
如果你是想成为渗透测试工程师的在校大学生,或是0 基础、想要转行做渗透测试的小白,给大家安利一个网安夏令营,这门课程也适合对自身安全职业发展规划不清晰、有困惑的渗透测试工程师来看一看,点击下面卡片可直接报名报名地址
最后,未来的互联网行业中一定需要更多的复合型人才,所以,如果你是运维、开发、IT等与渗透测试息息相关的“兄弟”岗位,也推荐你来了解下渗透测试的思维模式及工作方式,相信这对你后续的工作推进,有更多的帮助!
它一定不能解决你的所有问题。但是,它会是你“提升”的开始,从认知上改变你对渗透测试岗位和行业的理解,进一步帮你掌握核心能力、完成职业路线的规划,成为更受企业欢迎的安全人才