2024年Python最新零基础想学习Web安全,如何入门?,网易社招面经

如果你也是看准了Python,想自学Python,在这里为大家准备了丰厚的免费学习大礼包,带大家一起学习,给大家剖析Python兼职、就业行情前景的这些事儿。

一、Python所有方向的学习路线

Python所有方向路线就是把Python常用的技术点做整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。

二、学习软件

工欲善其必先利其器。学习Python常用的开发软件都在这里了,给大家节省了很多时间。

三、全套PDF电子书

书籍的好处就在于权威和体系健全,刚开始学习的时候你可以只看视频或者听某个人讲课,但等你学完之后,你觉得你掌握了,这时候建议还是得去看一下书籍,看权威技术书籍也是每个程序员必经之路。

四、入门学习视频

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

四、实战案例

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。

五、面试资料

我们学习Python必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有阿里大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。

成为一个Python程序员专家或许需要花费数年时间,但是打下坚实的基础只要几周就可以,如果你按照我提供的学习路线以及资料有意识地去实践,你就有很大可能成功!
最后祝你好运!!!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

了解下开源编辑器上传都有那些漏洞,如何绕过系统检测上传一句话木马
上传绕过

9 php-远程/本地 文件包含 (TIME: 10天)

去学习下 include() include_once() require() require_once() fopen() readfile()这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别。
以及利用文件包含时的一些技巧如:截断 /伪url/超长字符截断 等 。

10 php-命令执行 (TIME: 3天)

PHP代码中常见的代码执行函数有:

eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。

12 ssrf (TIME: 3天)

1\了解ssrf的原理,以及ssrf的危害。
2\ssrf能做什么。

当我们在进行web渗透的时候是无法访问目标的内部网络的,那么这个时候就用到了ssrf漏洞,利用外网存在ssrf的web站点可以获取如下信息。

1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;

2.攻击运行在内网或本地的应用程序(比如溢出);

3.对内网web应用进行指纹识别,通过访问默认文件实现;

4.攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);

5.利用file协议读取本地文件等。

13 逻辑漏洞 (TIME: 7天)

常见的逻辑漏洞一般都会在如下地方出现

1.订金额任意修改--购物站经常出现2.验证码回传 3.越权操作,其主要原因是没对ID参数做cookie验证导致。4.找回密码存在设计缺陷5.接口无限制枚举

14 xee(XML外部实体注入) (TIME: 5天)

当允许xml引入外部实体时,通过构造恶意内容,可以导致文件读取、命令执行、内网探测等危害

15 XPath注入 (TIME: 5天)

path注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击

16 服务器解析漏洞

Iis 解析漏洞  nginx 解析漏洞 tomcat 后台上传漏洞jboss 上传漏洞

如果上述漏洞原理掌握的都差不多那么你就可以去找个工作实践一下了.

# 加分项目-渗透信息搜集 (TIME: 15天)#

子域名搜集 利用DNS域名传送漏洞搜集二级域名

Liunx测试命令如下:

Dns服务器 1.1.1.1  测试域名http://wooyun.orgdig @1.1.1.1 http://sechook.org axfrnmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=http://wooyun.org -p 53 -Pn 1.1.1

实例查询苏宁DNS服务器

D:\deep>nslookup默认服务器:  localhostAddress:  10.11.0.1> set type=ns> http://suning.com服务器:  localhostAddress:  10.11.0.1非权威应答:http://suning.com      nameserver = http://lns1.zdnscloud.infohttp://suning.com      nameserver = http://gns2.zdnscloud.net.cnhttp://suning.com      nameserver = lns2.zdnscloud.bizhttp://suning.com      nameserver = http://gns1.zdnscloud.net>

查询苏宁 IP

C:\Users\jack>nslookup http://suning.com服务器:  localhostAddress:  10.11.0.1非权威应答:名称:    http://suning.xdwscache.ourwebcdn.comAddresses: 203.130.60.48   //对应ip         203.130.60.49  //对应ip         203.130.60.50  //对应ipAliases:  http://suning.comhttp://Suning.com.wscdns.com //别名

在线二级域名爆破网站

https://dnsdumpster.com/Netcraft - Search Web by Domain

工具获取二级域名

渗透测试中常用的在线工具--SecWiki 专题  参考链接subDomainsBrutewydomain theHarvester.py FierceDigknockdnsspiderSubDomainscollectSubBrutedirfuzz

使用格式:

     fierce  -dns http://baidu.com -threads 3     subDomainsBrute.py http://suning.com     python theHarvester.py -d http://suning.com -l 500 -b baidu -v 国内百度找的多     python theHarvester.py -d 公司名 -l 500 -b baidu -v      python theHarvester.py -d http://suning.com -l 500 -b google -v国外站google多     python theHarvester.py -d school -l 1000 -b all   all使用所有的搜索引擎进行搜索

subDomainsBrute使用需要安装依赖支持

     报错信息:ImportError: No module named dns.resolver     需要安装的库是 dnspython      pip install dnspython      没有pip的话, 可以用     到https://github.com/rthalley/dnspython.git 下载      cd dnspython      python setup.py install

搜索引擎 Google新经验:

+ 把google可能忽略的字列如查询范围 - 把某个字忽略~ 同意词. 单一的通配符* 通配符,可代表多个字母"" 精确查询

代码托管泄漏信息搜索

Google:

http://andy-game.googlecode.com/svn-history/Gitbub:   https://github.com/search?utf8=%E2%9C%93&q=%E5%A4%96%E7%BD%91+%E8%B1%86%E7%93%A3&type=Code&ref=searchresults

邮箱搜集

Metasploit邮箱搜集链接http://xiao106347.blog.163.com/blog/static/215992078201311300162776/

ip反查域名

http://dns.aizhan.com/58.240.86.229/

二级兄弟域名搜集

查询邮件服务器信息目标IP地址范围搜集利用代码托管网站搜集目标信息

确定ip 地址范围

扫描c段获取cdn真实ip地址社会工程学

三、整理笔记

这个我觉得最重要,这是一个好习惯 可以让我们重新把学习的技术做一个总结和巩固。在总结的过程形成自己对技术的理解与创新。从而让书本上的知识变成自己的东西。

如果你考虑好了参照我的计划进行学习,我不敢保证你实践完多牛逼,但是找工作绝对不成问题。

读者福利:知道你对网络安全感兴趣,便准备了这套网络安全的学习资料

对于0基础小白入门:

如果你是零基础小白,想快速入门网络安全是可以考虑的。
一方面是学习时间相对较短,学习内容更全面更集中。
二方面是可以找到适合自己的学习方案

包括: 网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。 带你从零基础系统性的学好网络安全!

👉网安学习成长路线图、网安视频合集👈

Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。(全套教程文末领取哈)

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

👉精品网安学习书籍👈

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

👉网络安全源码合集+工具包👈

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

👉CTF项目实战👈

学习网安技术最忌讳纸上谈兵,而在项目实战中,既能学习又能获得报酬的CTF比赛无疑是最好的试金石!

现在能在网上找到很多很多的学习资源,有免费的也有收费的,当我拿到1套比较全的学习资源之前,我并没着急去看第1节,我而是去审视这套资源是否值得学习,有时候也会去问一些学长的意见,如果可以之后,我会对这套学习资源做1个学习计划,我的学习计划主要包括规划图和学习进度表。

分享给大家这份我薅到的免费视频资料,质量还不错,大家可以跟着学习

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值