确定web方向
昨天组内分工我自己主动提出了选择研究web方向,一开始并没有想到说这个是最简单的.
chorme浏览器学习
在学习的时候,我去打开了我的chorme浏览器,随便实验了一下我们的学习软件智慧树,但是这个和学习的网站上的加密方式不相同,在查询NETWORK的时候什么东西都不显示,我知道我肯定不会这么简单就把一个这么大网站的加密方法破解了,所以简单实验一下我就开始了接下来的一步,查询浏览器之前保存过的密码,确实有些网站的密码连我自己都不知道我保存在了上面,学习到了知识之后才知道密码没有好好保护好是多么的危险(奇怪的是这个浏览器有点难被我打开).
接下来还有的就是浏览器漏洞的开源测试,我的浏览器打开需要太久时间了,且需要较长的空间去查看sqlite格式所以这个实验暂时告别一下.
Burp Suite工具安装及配置
这是一款web安全测试较为全能的软件,但是这是Java编写的,只学了C语言的我暂时还不能很好的去理解里面的逻辑关系.
Target(目标):
显示目标目录结构。
Proxy(代理):
Burp Suite设置代理,抓取数据包。用于拦截HTTP/S的代理服务器,作为浏览器和目标应用程序之间的中间件,允许你拦截、查看、修改两个方向上的原始数据流。
Spider(蜘蛛): Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等。
Scanner(扫描器): 高级工具,它能自动地发现Web应用程序的安全漏洞。主要用来扫描Web应用程序漏洞,发现常见的web安全漏洞,但会存在误报的可能。
Intruder(入侵):
一个定制的高度可配置工具,可以对Web应用程序进行自动化攻击和暴力猜解,如:枚举标识符,收集有用的数据,以及使用fuzzing技术探测常规漏洞。
Repeater(中继器):
对数据包进行重放(手动操作来触发单独的HTTP请求),分析服务器返回情况和响应,判断修改参数的影响。
Sequencer(会话):
用来检查Web应用程序提供的会话令牌的随机性,分析那些不可预知的应用程序会话令牌和重要数据项的随机性,并执行各种测试。
Decoder(解码器):
对数据进行加解密操作,包含url、html、base64等等。
Comparer(对比):
用来执行任意两个请求、响应或任何其它形式的数据之间的比较,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
Extender(扩展):
加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suite的功能。
Options(设置):
对Burp Suite的一些设置,如burp、字体、编码等。
Alerts(警告):
用来存放报错信息的,用来解决错误。
原文链接:https://blog.csdn.net/Eastmount/article/details/98469967
书面学习
开始学习阿里安全工程师吴翰清的<<白帽子讲web安全>>
第一章讲的是安全世界观,主要讲了web安全的发展起源及其利用思想,了解几种面对黑客攻击时的主要防御思想.
世界本是安全的,有了研究安全的人之后就不在安全了