先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
1.1简单介绍授权就是针对于我们的客户,我们需要从客户手中获取正常的渗透测试委托授权书。
1.2其次我们需要客户提供给我们测试范围,例如网站域名、IP、是整站还是单个的,是IP的全端口还是部分,黑盒或者白盒。这都是需要注意的。
1.3再者我们要明确测试的程度,程度也成为规则,例如是否可以进行提权、上传木马、是否可以影响现有正常业务、只发现漏洞即可还是可加大渗透程度进行更深入的挖掘以及渗透时间等等都是需要和客户商量好的。
1.4最后要了解客户的需求,也就是为什么做,想达到什么效果。(可能介绍的太笼统,但依据实际工作经验,确实会涉及这方面内容)
2、明确了目标我们开始进行工作,我们开始要进行真正有关渗透测试的第一步“信息收集”,收集信息可能方法会有很多,我举一些自己用到过的一些方法方式:通用的我们会扫描网站,利用工具查找一些相关网站的旁站、C段、子域名以及我们经常用的whois、Shodan、爱站网、微步、千寻好多好多网站。都说信息收集的好,渗透容易一半,再不违反正常授权的前提下我们尽可能的去多收集一些信息,利用工具也好,现有资源也好(后文也会对渗透工具进行介绍(namp、dig、layer等等))。
3、授权有了,信息有了,这才是小伙伴们开始激动人心的时刻了,日站的操作来了,我们对所得到的信息利用,进行漏洞挖掘,漏洞挖掘其实也分两种,
3.1一种是我们手动进行一些sql啊、xss啊、上传啊、绕过(检测、防御)啊、kali应用啊、命令执行啊等等把,原则也是在不违反正常授权书的前提下对目标实施全方面的**“开炮”**,就算这个平安县再稳,我们也能给他一炮。
3.2除了手动我们还可以进行工具扫描、或者第三方工具使用漏扫设备,需要正常授权哈,不然可能会得到“银手链”,这个是真的要注意,非授权情况下对目标进行漏扫已经触犯法律。
4、漏洞有了,我们切不可直接在人家生产环境上直接一顿操作猛如虎,我们将收集来的漏洞进行整理,然后搭建虚拟环境进行漏洞验证,漏洞利用,确保可以执行,我们再对客户生产环境进行漏洞利用,进行攻击操作(提权、内网渗透)保留好我们的攻击路径以及步骤截图来为我们下一步写报告做准备。
5、写报告,大部分都会有模板,大概包括这几点:概述、漏洞发现类型、漏洞利用、分析结果、整改意见(修复方法、这大部分百度就行),为了少打字多偷懒,我们就多放步骤截图。
以上就是我们渗透测试的一个流程,不能说绝对,但是应该也满足大部分客户的需求。简单整理一下如下:
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
1015
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
