10个练习Web渗透测试的最佳网站

已于 2024-01-05 15:24:38 修改
阅读量1.2k 收藏 16
点赞数 9
文章标签: linux 运维 服务器 ubuntu 安全
于 2023-12-21 12:48:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A1_3_9_7/article/details/135128097
版权

在这里插入图片描述

1. HackTheBox: 这是一个用于练习渗透测试技能的流行平台,具有一系列可供攻击和利用的虚拟机 (VM)。它还拥有一个活跃的用户社区,分享提示和技巧。

2. TryHackMe: 另一个流行的平台,具有一系列虚拟机来练习渗透测试技能。它还为初学者和高级用户提供学习路径。

3. PentesterLab: 该平台提供 Web 应用程序安全挑战,可满足初学者和高级用户的需求。它还提供一系列涵盖各种安全主题的实验和练习。

4. Vulnhub: 该平台拥有大量虚拟机,可以模拟真实场景并被设计为可供利用。它还拥有一个社区论坛,用户可以在这里分享他们的经验。

5. OverTheWire: 该平台提供各种挑战,测试您在网络安全、密码学和网络开发等领域的技能。对于想要学习和练习新技能的初学者来说,这是一个很好的平台。

6. Root-me: 该平台为不同技能水平提供了各种挑战,包括 Web 应用程序安全、密码学、逆向工程等。它还具有排行榜来跟踪您的进度。

7. picoCTF: 这是一个免费的在线平台,用于学习和练习网络安全技能,特别是在计算机安全、密码学、逆向工程和网络开发领域。

8. Hacking-Lab: 该平台提供模拟真实场景的各种挑战和竞赛。它还为初学者和高级用户提供一系列培训材料和课程。

9. 该死的易受攻击的 Web 应用程序 (DVWA): 这是一个故意存在漏洞的 Web 应用程序,旨在练习 Web 应用程序安全技能。这是练习不同攻击技术和学习如何保护 Web 应用程序的好方法。

10. WebGoat: 另一个故意存在漏洞的 Web 应用程序,旨在以实际的方式教授 Web 应用程序安全性。它有一系列涵盖各种安全主题的挑战和练习。

接下来我将给各位同学划分一张学习计划表!

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉【整整282G!】网络安全&黑客技术小白到大神全套资料,免费分享!

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。

网安导师小李
关注
  • 9
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
渗透测试】—10个学习渗透测试网站整理
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
02-20 3779
1.永久免费;2.学习网络安全相关技能的网站
web渗透测试基本步骤
weixin_34313182的博客
03-05 1342
基本常见步骤: 一 、信息收集 要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等 二、收集目标站注册人邮箱 1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。 2.用邮箱做关键词,丢进搜索引擎。 3.利用搜索到的关联信息出其他邮进而得到常...
新手学习渗透测试的入门指南
wusimin432503的博客
06-19 2456
新手学习渗透测试的入门指南
2024年最新小白入门黑客之渗透测试(超详细)基本流程(内附工具)(1),软件测试面试送分题
最新发布
2401_84563933的博客
05-08 713
提到了网站敏感目录我们就不得不提 robots.txt 文件了robots.txt 文件是专门针对搜索引擎机器人robot 编写的一个纯文本文件。我们可以在这个文件中指定网站中不想被robot访问的目录。这样,我们网站的部分或全部内容就可以不被搜索引擎收录了,或者让搜索引擎只收录指定的内容。因此我们可以利用robots.txt让Google的机器人访问不了我们网站上的重要文件,GoogleHack的威胁也就不存在了。
渗透中常用的在线工具和网站总结
2301_76786857的博客
12-05 447
【代码】渗透中常用的在线工具和网站总结。
网站渗透思路(小白专看,大佬绕道)
热门推荐
weixin_48477703的博客
06-12 1万+
渗透测试大体可以分为六大步 1. 信息收集 2.漏洞挖掘 3.漏洞利用 4.提升权限 5.清除测试数据 6. 总结归纳输出报告并提出修复建议 首先在获取书面授权的情况下,才可以进行渗透测试,提前询问有没有敏感操作等,首先进行网站的信息收集 ...
网络安全学习的几个网站,你都知道吗?
2301_77157449的博客
06-27 2400
网络安全论坛和社区:例如Reddit的/r/netsec(https://www.reddit.com/r/netsec/)和Stack Exchange的Information Security(https://security.stackexchange.com/)等论坛,可以与其他网络安全专业人士进行交流和学习。SANS安全培训:https://www.sans.org/ - SANS是一家网络安全研究和培训机构,他们提供各种在线课程和资源,涵盖从基础知识到高级技术的各个层面。
各大CMS网站模板--练习web渗透必备.zip
12-11
不错的靶场,即能练习网站搭建,又能熟悉网站结构,都有助于提高我们的web测试能力!所以这是一个不错的资源,希望对大家有所帮助!
CTF6渗透测试全流程练习靶机
12-14
CTF6渗透测试全流程练习靶机
30 天渗透测试练习2.pdf
10-06
【网络安全渗透测试】是网络安全领域中的一个重要环节,它旨在通过模拟黑客攻击行为,评估和提升网络系统的防御能力。渗透测试的目的是出系统中的安全漏洞,防止真正的恶意攻击者利用这些漏洞进行非法活动。以下是...
Web渗透测试入门视频课程.txt
06-11
Web渗透测试入门视频课程,基础知识,简单易懂,主要介绍系统和工具的使用,是渗透入门首选课程,能配合靶场练习的话进步就很快了。
超全的Web渗透自我学习资料合集(64篇).zip
09-30
超全的Web渗透学习资料合集,共64篇。 web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 web渗透: 枚举web服务器应用 web渗透: 识别web应用框架 web渗透: 配置管理测试 web渗透: 身份管理测试 web渗透: 不安全的HTTP方法 web渗透: 登录认证安全测试 web渗透: 浏览器缓存攻击测试 web渗透: 目录遍历文件包含测试 web渗透: 目录浏览漏洞测试 web渗透: 越权漏洞 web渗透: 任意文件下载 web渗透: 跨站请求伪造(CSRF) web渗透: 服务端请求伪造攻击(SSRF) web渗透: 跨站脚本攻击(XSS) web渗透: HTTP Host头攻击 web渗透: SQL注入(上) web渗透: SQL注入(下) web渗透: XML注入攻击 web渗透: XXE外部实体注入 web渗透: 服务器端包含注入(SSI注入) web渗透: XPath注入 web渗透: 命令注入 web渗透: HTTP响应头拆分漏洞 web渗透: LDAP注入 web渗透: ORM注入 web渗透: Json劫持Json注入 web渗透: 宽字节注入 web渗透: 脆弱的通信加密算法 web渗透: Padding Oracle攻击 web渗透: 未加密信道发送敏感数据 web渗透: 业务逻辑数据验证 web渗透: 伪造请求 web渗透: 验证码功能缺陷 web渗透: 竞争并发漏洞 web渗透: IMAPSMTP注入 web渗透: 本地文件包含远程文件包含 web渗透: 文件上传漏洞 web渗透: web服务器控制台地址泄漏 web渗透: 报错信息测试 web渗透: 不安全的对象引用 web渗透: 基于DOM的XSS跨站 web渗透: 堆栈轨迹测试 web渗透: 常见的数据信息泄露 web渗透: web消息漏洞 web渗透: WebSockets安全测试 web渗透: 异常信息泄漏 web渗透: 防御应用程序滥用 web渗透: 客户端资源处理漏洞 web渗透: HTML注入 web渗透: Flash跨域访问漏洞 web渗透: 客户端URL重定向 web渗透: DNS域传送漏洞 web渗透: 服务器多余端口开放 web渗透: 本地存储安全 web渗透: web服务器解析漏洞 web渗透: JavaScript注入漏洞 web渗透: CSS注入 web渗透: 会话固化漏洞 web渗透: 常见的WAF绕过方法
渗透测试平台
08-28
一款渗透测试实战平台。
30 天渗透测试练习1.pdf
10-06
网络安全渗透测试
1.100个渗透测试实战#1(DC—1)
qwsn
03-19 4679
目录 一、实验环境 二、实验流程 三、实验步骤 (一)信息收集——主机发现 1.查看kali的网卡和IP信息;(网卡名:eth0;IP:192.168.97.129) 2.查看靶机页面; 3.探测主机的存活状态(netdiscover、arp-scan 、nmap); (二)信息收集——端口(服务)扫描 1.扫描端口,以及端口对应的服务信息,以及靶机的操作系统信息; 2.分析所...
Hack The Box,一款有意思的渗透测试平台
阿道夫的博客
02-03 1451
Hack TheBox是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中一些模拟真实场景,其中一些更倾向于CTF风格的挑战。Hack The Box还提供了Rank机制来作为我们挑战的动力,通过通关靶场来去获取积分提高自己的排名。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)
给你一个网站你是如何来渗透测试的?
机器的自我探索之旅
03-08 7020
1)信息收集, 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞 4,查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql
从零开始内网渗透学习
zhalang8324的博客
12-26 9754
柠檬的内网合集,第二次看,感觉就不一样了。。。 虽然我们同届,但感觉相差甚远啊,努力努力。 Team:Syclover Author:L3m0n Email:iamstudy@126.com [TOC] ###域环境搭建 准备: DC: win2008 DM: win2003 DM: winxp win2008(域控) 1、修改计算机名:  2、配置固定ip
web渗透学习手册
good good study
03-04 1万+
依据多年的渗透测试项目经验及个人理解,对漏洞分类
有什么适合新手练习postman接口测试的网站
05-10
当你刚入门Postman时,可以尝试使用以下网站进行练习: 1. Reqres - 这是一个专门为测试API设计的网站,提供了许多用于测试的示例数据和API端点。 2. JSONPlaceholder - 这是另一个提供API端点的网站,可以用于测试。 3. Restful-Booker - 这是一个在线预订系统,提供了一系列API端点,可以用于测试。 4. Petstore - 这是一个在线宠物商店,提供了一系列API端点,可以用于测试。 这些网站都提供了API端点,你可以使用Postman来测试这些端点,从而提高你对Postman的熟练度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安导师小李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值