2024年最新小白入门黑客(超详细)渗透测试基本流程(内附工具)(2),2024软件测试大厂面试真题

最新推荐文章于 2024-09-13 21:30:49 发布
最新推荐文章于 2024-09-13 21:30:49 发布
阅读量730 收藏 13
点赞数 15
分类专栏: 程序员 文章标签: 面试 职场和发展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84563933/article/details/138573230
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

3、技术

阶段一:基础部分

Windows部分

基础命令、PowerShell的使用和简单脚本编写

组件:注册表、组策略管理器、任务管理器、事件查看器

另外,可以先学习一下怎么在Windows上搭建虚拟机,学会安装系统,为接下来学习Linux做准备

Linux部分

主要学习如何使用,学习文本编辑、文件、网络、权限、磁盘、用户等相关的命令,要建立一个Linux的基本认知。

这个阶段的误区就是小白很容易一上来就学Kali,连基本的概念都没懂,就去学习使用工具,属于典型的本末倒置。

计算机网络部分

从局域网出发,了解计算机通信的基本网络——以太网

局域网如何通信?

集线器、交换机之间的区别?

MAC地址、IP地址、子网、子网掩码的作用?

随后就要了解广域网、互联网,通过七层和四层模型快速建立起计算机网络的基础概念,各层协议的作用,分别有哪些协议,这些协议在当今的互联网中具体是怎么应用的。

Web基础部分

学习网络安全,就离不开web。Web安全是网络渗透中非常重要的一个组成部分。

掌握HTML+CSS+JS的开发使用

这一部分需要自己动手的会多一些,比如熟悉掌握Javascript、了解Ajax、学习JQuery

数据库基础部分

主要学习一些理论知识,重点掌握库、表、索引概念,学习SQL编写,学会增删改查数据

阶段二:进一步学习基础

Web进阶

学习Apache和Linux的基本知识

动态网页基本原理

CGI/Fast-CGI过渡到ASP/PHP/ASPX/JSP等动态网页技术,了解它们的发展历史,演变过程和基础的工作原理。

Web开发中的基础知识:表单的操作、Session/Cookie、JWT、LocalStorage等等,了解这些基本的术语都是什么意思,做什么用,解决了什么。

PHP编程

选择PHP是因为它更放方便我们研究安全问题。

需要学习:语法基础,基本的后端请求处理,数据库访问,然后再接触一下常用的ThinkPHP框架

计算机网络进阶

HTTP/HTTPS以及抓包分析

inux上的tcpdump必须掌握,包括常见的参数配置

学习Wireshark分析数据包,用Fiddler抓取分析加密的HTTPS流量。

加解密技术

包括base64编码、对称加密、非对称加密、哈希技术等等。

阶段三:中级技术

Web安全入门

Web安全领域内几大典型的攻击手法:SQL注入、XSS、CSRF、各种注入、SSRF、文件上传漏洞等等,每一个都需要详细学习,一边学习理论,一边动手实践。

这里需要自己在虚拟机中搭建一些包含漏洞的网站,如果在互联网上的网站来攻击是会被请去喝茶的。

网络扫描与注入

学习如何寻找攻击点,获取目标信息

信息包括:目标运行了什么操作系统,开放了哪些端口,运行了哪些服务,后端服务是什么类型,版本信息是什么等等,有哪些漏洞可以利用,只有获取到了这些信息,才能有针对性的制定攻击手段,拿下目标。

需要学习常用的扫描工具以及它们的工作原理。

信息搜集与社会工程学

whois信息用来查询域名信息,shodan、zoomeye、fofa等网络空间搜索引擎检索IP、域名、URL等背后的信息,Google Hacking利用搜索引擎来检索网站内部信息,这些东西都是在网络信息搜集中经常用到的技能。

暴力破解

学习爆破工具hydra、超级弱口令、mimikatz

阶段四:安全防御和检测

WAF技术

需要学习web应用防火墙。掌握WAF工作原理,找到弱点绕过检测,或者加强安全检测和防御能力

需要学习当下主流的WAF软件所采用的架构比如openresty、modsecurity,以及主要的几种检测算法:基于特征的、基于行为的、基于机器学习的等等。

网络协议攻击 & 入侵检测

掌握TCP劫持、DNS劫持、DDoS攻击、DNS隧道、ARP欺骗、ARP泛洪等等传功经典攻击手段的原理

日志技术

系统登录日志(Windows、Linux)、Web服务器日志、数据库日志等

Python编程

学习编程开发,编写爬虫、数据处理、网络扫描工具、漏洞POC等等

浏览器安全

需要重点掌握IE、Chrome两款最主流的浏览器特性,浏览器的沙盒机制是什么,同源策略和跨域技术等等。

阶段五:高级技术

第三方组件漏洞

学习目前互联网服务中实际使用的一些工程组件,比如Java技术栈系列Spring全家桶、SSM、Redis、MySQL、Nginx、Tomcat、Docker等等。

内网渗透

学习在渗透过程中如何转移,在攻下一个点之后,控制更多的节点。这个部分理论少,实战多,需要搭建靶场环境模拟学习

操作系统安全技术 & 提权技术 & 虚拟化技术

阶段六:成熟阶段

CobalStrike & MetaSploit

通过这两个神奇可以对前面学习的信息扫描、漏洞攻击、内网渗透、木马植入、端口反弹等等各种技术进行综合运用,融会贯通。

其他安全技术拓展

到了网络渗透的后期阶段,想成为一个安全高手,绝不只是固步自封在自己擅长的领域,需要多学习网络安全的其他领域,拓展自己的知识面。

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!*

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

2401_84563933
关注
专栏目录
2022网络安全技术自学路线图及职业选择方向
欢迎来到技术宅的博客
03-18 1万+
每天都有新闻报道描述着新技术对人们的生活和工作方式带来的巨大乃至压倒性影响。与此同时有关网络攻击和数据泄露的头条新闻也是日益频繁。 攻击者可谓无处不在:企业外部充斥着黑客、有组织的犯罪团体以及民族国家网络间谍,他们的能力和蛮横程度正日渐增长;企业内部是员工和承包商,无论有意与否,他们都可能是造成恶意或意外事件的罪魁祸首。 那作为一个零基础的小白,此时适合进入网络安全行业吗,它的就业前景怎么样,应该怎么选择适合自己的岗位? 本文将针对这几个问题,逐一进行解答,希望能够对大家有帮助。 (友情提示,全文五
网络安全的学习方向和路线是怎么样的?
MachineGunJoe666
09-29 6469
大家好,我是周杰伦! 最近有同学问我,网络安全的学习路线是怎么样的? 废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。 在这个圈子技术门类中,工作岗位主要有以下三个方向: 安全研发 安全研究:二进制方向 安全研究:网络渗透方向 下面逐一说明一下。 下面的卡片可以免费领取网络安全相关的学习资料,帮助大家在学习的过程中少走弯路: 【你要的网络安全知识,戳这里!!!】 ...
网络安全的学习方向以及目标划定
zhoutong2323的博客
04-03 343
感悟
企业开展开源安全治理必要性及可行性详细分析(1),附赠课程+题库
m0_60229361的博客
04-16 588
金融行业来看,其实从2019/2020开始有过一波治理的尝试,但是到2021来看,效果并不是很好,主要是一开始也没有当着重点任务去看,也是抱着试试看的心态,后来踩的坑多了,才发现其实挑战非常的大,所以从2021开始几个头部大行开始组织深入的调研,包括我了解的工行、农行等都从2021开始又花了1-2的时间,重新审视开源安全治理工作的重要性,同时总结过去的经验,开始全面体系化的规划如何落地,而2023开始一些银行和证券行业就开始规模化的落地开源组件安全治理工作,目前来看也都有一些不错的积累。
企业开展开源安全治理必要性及可行性详细分析
murphysec的博客
03-18 1397
当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。开源安全治理方向是近几经济下行周期中企业为数不多大家关注的热门方向,也是当前企业面临的主要安全威胁,大量勒索攻击、数据泄露事件究其原因都与此有关,再加上自主可控的大背景需求下,此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向,行业头部企业都在积极投入和规划,我们应该如何客观看待,开源安全治理到底是昙花一现的伪需求?
小白入门黑客渗透测试详细基本流程内附工具)
weixin_57514792的博客
08-10 886
小白入门黑客渗透测试详细基本流程内附工具)
2024最流行的十大开源渗透测试工具(非常详细)零基础入门到精通,收藏这一篇就够了
weixin_57514792的博客
06-24 1226
2024最流行的十大开源渗透测试工具(非常详细)零基础入门到精通,收藏这一篇就够了
web渗透测试系列 之 信息收集——三,2024最新阿里腾讯PDD等大厂网络安全面试真题
2401_83974064的博客
04-18 975
它的工作原理是什么呢?通常我们在进行渗透项目的信息收集的时候,往往利用上面的手段,搜索出来的内容,不是特别的符合我们的需求,效率也会降低,那么我们往往就需要使用过滤的方式来进行搜索,下面简单给大家列举几个常见的规则。有了帐号,就开始我们的愉快之旅,它就像我们使用百度一样,在主页的搜索框中输入我们想要找的内容就可以,比如我们搜索最常见的SSH(安全外壳协议,用于远程登录其他设备)没有关系,我们是做什么的啊(窃喜),发现页面居然可以创建免费账户,但是功能却是有些阉割,正常使用足够啦。
字节跳动十经验老鸟,耗时大半整理的软件测试面试真题【附答案】
2401_83014911的博客
07-05 558
根据我以前的工作和学习经验,我认为做好工作首先要有一个良好的沟通,只有沟通无障碍了,才会有好的协作,才会有更好的效率,再一个就是技术一定要过关,做测试要有足够的耐心,和一个良好的工作习惯,不懂的就要问,实时与同事沟通这样的话才能做好测试工作。4 如果需要高级的安全性测试,确定获得专业安全公司的帮助,外包测试,或者获取支持兼容性测试,根据需求说明的内容,确定支持的平台组合:浏览器的兼容性;而且我也有初步的职业规划,前3积累测试经验,按如何做好测试工程师的要点去要求自己,不断更新自己改正自己,做好测试任务。
从苏宁电器到卡巴斯基(第二部)第36篇:我当高校教师的这几 XII
Gleam的专栏
07-23 83
上面说X高校(主要指软件学院)比较重视Java的教学,这个一点也不假,因为大学四里面,关于Java的课程很多,如最开始的Java基础,一直到Java高级编程,再到各种框架、高级实战课程的学习,都是基于Java的,而且一些看似不显山露水的课程,如软件测试、软件工程等,其实也是围绕着Java技术展开的,而且我们老师自己负责的项目,也是由Java开发的,由此可见Java的重要性。而X高校每的毕业生里面,那些凡是把Java学好的同学,后来的工作肯定都不差,比如入职字节这种头部大厂的,薪40W+也是有的。
java常用数据结构面试题,互联网后端基础技术
2401_84408092的博客
04-18 654
面试难免让人焦虑不安。经历过的人都懂的。但是如果你提前预测面试官要问你的问题并想出得体的回答方式,就会容易很多。此外,都说“面试造火箭,工作拧螺丝”,那对于准备面试的朋友,你只需懂一个字:刷!给我刷刷刷刷,使劲儿刷刷刷刷刷!今天既是来谈面试的,那就必须得来整点面试真题,这不花了我整28天,做了份“Java一线大厂高岗面试题解析合集:JAVA基础-中级-高级面试+SSM框架+分布式+性能调优+微服务+并发编程+网络+设计模式+数据结构与算法等”
科技爱好者周刊(第 191 期):一个程序员的财务独立之路
ruanyf的博客
01-07 423
这里记录每周值得分享的科技内容,周五发布。 ...
数据库备份和还原 mysqldump(重点,重点,重点)分库备份
2401_84049088的博客
04-21 769
分布式技术专题+面试解析+相关的手写和学习的笔记pdf《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。**[外链图片转存中…(img-tgOpwhV5-1713710921765)][外链图片转存中…(img-NWV3X2LO-1713710921765)][外链图片转存中…(img-l5MZnVGU-1713710921765)]
【Kubernetes】常见面试题汇总(十三)
最新发布
Songyaxuan075118的博客
09-13 204
Kubernetes Scheduler 使用哪两种算法将 Pod 绑定到 worker 节点 预选(Predicates) 优选(Priorities) Kubernetes kubelet 的作用 Kubernetes kubelet 监控 Worker 节点资源是使用什么组件来实现的
【C++ 面试 - 新特性】每日 3 题(九)
Newin2020的博客
09-10 574
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~
仕考网:公务员面试流程介绍
SHIkaowang的博客
09-08 347
1.在结构化面试中,当轮到某位考生时,引导员将在候考室宣布其编号,随后考生跟随引导人员前往考场入口。考生在开始考试时需回答自己的考试号,但不得透露姓名,面试过程通常涉及题本或考官直接提问两种方式。2.公务员面试中的无领导小组讨论环节,要求考生在进入考场后自行选择或通过抽签确定座位。此环节所有考生将面对相同题目,并有大约五分钟的时间进行独立准备。考试结束后,考生将在候考室等待成绩公布。通知进面信息——资格审查——面试签到——抽签候考。面试分为结构化和无领导小组两种形式。
秋招突击——算法练习——9/4——73-矩阵置零、54-螺旋矩阵、48-旋转图像、240-搜索二维矩阵II
Blackoutdragon的博客
09-10 653
一有震动都想去看看,是不是有offer了,但是没啥反应,还是啥都没有,排序,排序!不过决定不了什么,就像今天游泳一样,想象周边得水流一点一点冲刷,冲刷,冲刷掉我的所有杂念,现在能够做的并不多,只能尽我所能去面试,准备面试,其他的,决定不了! 9/10 看着上周写的执念,我忽然间释怀了,想告诉自己,美团没排序上,还是挂了,志愿结束了。不过这都不算什么,我还有机会,继续在面试就是了,加油!
面试真题 | web自动化关闭浏览器,quit()和close()的区别
NHB234567的博客
09-13 184
关闭所有的浏览器窗口,销毁driver操作,则需要使用的是quit方法;当打开了多个窗口,只想要关闭非最后一个窗口的时候,使用的是close方法。这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!close():只关闭当前的浏览器标签页,如果当前浏览器标签页剩下最后一个,则所有标签页面退出。是否编写过对应浏览器退出的测试用例。quit():所有的浏览器窗口退出。关闭当前的标签页,其他窗口不退出。退出当前所有的窗口;
黑客入门渗透测试实战工具与方法详解
渗透测试实践指南:必知必会的工具与方法》是一本由Patrick Engebretson编著的权威且实用的书籍,专为对计算机安全和渗透测试感兴趣的初学者设计。作者将复杂的黑客入门概念简化为"ZEH"(Zero Entry Hacking),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值