网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1.3 计算机网络
计算机网络在web***测试中无疑是最重要的基础,我们抓包、扫描主机开放的其他服务端口等,都是在计网基础之上的。后续小伙伴们想深入学习推荐《计算机网络自顶向下方法》,此书像剥洋葱一样讲解了我们目前使用的网络是如何一层一层封装的,其中除了面试常问的tcp握手等较常见的问题,还有阻塞机制等。
1.3.1 分层模型(了解)
了解tcp/ip五层模型,OSI七层模型。了解哪一层有哪些常用协议,要知道这些协议并不是随意地在理论上分层分类,而是有实际的封装关系的。
1.3.2 IP、TCP协议(掌握)
深入理解ip局域网和公网、tcp套接字、路由器NAT转发等。日后熟练了要能知道局域网IP段、熟悉一些常见的服务端口。
主要是搞懂一些IPv4的机制,为我们日常处理某些问题提供理论支撑。如测试给的环境我们肯定都能访问,但是如果觉得存在某个漏洞,想通过控制服务器回访我们自己的电脑来证明存在漏洞,这时如果服务器在公网,而你在某个局域网则会访问失败。
推荐视频:
【硬件科普】IP地址是什么东西?IPV6和IPV4有什么区别?公网IP和私有IP又是什么?
顺便把DNS也了解一下,后续使用dnslog有用。
【硬件科普】能上QQ但是打不开网页?详解DNS服务,DNS解析,DNS劫持和污染
1.3.3 HTTP协议(掌握)
了解HTTP报文格式、掌握一些常见头属性的作用、了解一些常见的状态码、掌握各种HTTP方法(GET、POST、OPTION、TRACE、PUT、DELETE等)及其参数格式和编码。
https://zhuanlan.zhihu.com/p/70949908
https://www.cnblogs.com/an-wen/p/11180076.html
1.3.4 SSL、HTTPS(深入了解)
我们在发现一些敏感信息明文传输时,会要求使用前端加密或https协议来修复。我们需要了解为什么认定https是安全的。到后面我们开始实践后,还可以返回来思考,为什么我们需要在浏览器导入工具的证书?为什么服务器用了https我们仍可以抓包看到明文?
弄清ssl和https的关系,简单地说https=http+ssl,但是ssl技术也可用于加密其他通信。还要ssl在网络分层模型中在第几层,弄清https中数据封装的顺序,http、tcp、ssl的先后。
1.4 Web前端(深入了解)
主要是学会一些html和JavaScript,才能测XSS漏洞,css样式我们很少不涉及。
html即超文本标记语言,只需了解它有标签和属性,浏览器会渲染他们使文本呈现一些简单的样式。具体有哪些标签不用去记。
JavaScript是网页的脚本语言,控制着网页的行为,属于动态编程语言,灵活强大。跨站脚本进攻中的脚本指的就是 JavaScript。我们学习JavaScript并不是拿去写前端的,只是用于测试网页是否存在漏洞,侧重点在于搞懂有哪些方式能够触发js代码,也就是花式触发js代码,我们一般用函数alert来证明js被触发。
常见的几点:script标签、所有标签中的事件、部分标签中的src属性和href属性data属性。
1.5 浏览器机制(掌握)
掌握浏览器同源策略、web身份认证
同源策略和cookie共同支撑起了web的身份认证基础。
1.6 SQL
要求学会基本语法即可。主流的数据库有MySQL和Oracle,二者语法有些差别。
推荐先学MySQL,看书即可,推荐《MySQL必知必会》,很薄很小的一本书,很快就能啃完。
至于Oracle,补习一下字符串拼接、对应的sleep函数等,就可以应付sql注入了。
1.7 linux shell
若是碰到命令执行的点,学习一下一句话反弹shell,以及反引号的命令替换,即输出字符串时,把字符串中反引号的部分替换为其执行的结果。当然,最好先用nmap扫描一下确认是Linux机器。
想要上手Linux命令行or运维等,推荐教程:
【狂神说Java】Linux最通俗易懂的教程阿里云真实环境学习
1.8 行业术语
白帽子:一般指正面的***
Payload:有效的进攻代码
Poc:可以说是漏洞验证程序,运行这个程序就可以检测是否存在漏洞。一些验证起来繁琐、步骤多的漏洞,可以写Poc来提高效率。
CVE:英文全称是 “Common Vulnerabilities & Exposures” 通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
反序列化:可以理解为序列化是指将一个数据结构输出为字符串的过程,反序列化是根据字符串生成数据结构的过程,在Java后端中字符串是json格式,数据结构就指类。
其他一些属于可能字面意思就能理解,如弱口令、弱密码、短信轰炸…
二、工具使用
2.1 BurpSuite
这个是我们***测试的利器,除了强大的抓包、重放功能,还有暴力破解、支持插件等。
重点是Proxy模块以及证书安装,配置好就能开始抓包了;Repeater模块是重放,很简单;Intruder模块是暴力破解,有时候可能需要字典,但是测试过程中证明暴力破解一般不需要真的去找个几千几万甚至几十万的字典…
笔者只说一个技巧,就是如何排除浏览器自身的包、心跳报文等垃圾信息的干扰。
- Proxy的Option中勾选最下面的Don’t send items to Proxy history or live tasks, if out of scope
- Target的Scope中Include in scope中添加一个any,Exclude from scope中添加你的黑名单url,支持正则,也可以在Proxy中选中报文右键Remove from scope添加
- 保存规则,每次启动时自动加载
2.2 netcat
安全测试中的瑞士军~刀,使用一般是 nc -lvvp
用于接收反弹过来的shell,或是接收http请求。
2.3 dnslog
在1.2.2 IP、TCP协议(掌握)中我们提到,有些情况我们需要一个公网机器来接收被测服务器的请求,如果是简单的http请求等,我们可以使用dnslog
如果是文件包含,远程调用,那只能使用公网主机了。
2.4 sqlmap
新人可以试试,自动检测sql注入的工具。
一般我们都把burp的报文保存到txt里,这样就直接有cookie了,然后在要注入的点打上星号*,sqlmap运行 python sqlmap.py -r %filepath% 即可,其它参数:
https://www.cnblogs.com/insane-Mr-Li/p/10150165.html
一般会追加一些参数来指定成功注入后,干一些什么事,如执行系统命令、列出数据库名等。
2.5 Nmap
主要用于扫描主机开放的不安全的服务,以及判断操作系统类型(当然这个参考就行,不一定准)
安装带图形界面的,扫描时配置选all TCP ports
三、基本漏洞
学习和快速上手业务方面的安全问题,我推荐书籍《Web***指业务安全实战指南》,这本书比之前推荐的必知必会要厚,但其实字数不多,也很好理解,看一遍不会花太多时间,但是能让读者快速入门实践。
再进一步学习推荐《白帽子讲Web安全》
其实大大小小地漏洞很多,甚至每个CVE都能算一个漏洞,但是哪些要覆盖测试,根据自己的情况而定,自己可以列一个测试清单。一些漏洞的测试技巧甚至步骤都是固定的,这里罗列一下,大家自行整理。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
.(img-mk6DFiwF-1715070134104)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
扫一扫
4479
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
