好久没写博客了,上次写博客还是在上学期.而且以前写博客都是写写一周做了些什么.这次分享一些自己学web渗透的一些心得吧(仅作个人心得,谨慎参照,有大佬路过还望指点一下~).此前一直在学Java web.这次趁着五一假期好好钻研了下web渗透.其实我一直觉得每个学计算机的人都有黑客梦,炫酷吊炸天啊......其实很早我就想学web安全.上学期在工作室学了一个学期的前端打了下基础.看了很多web安全的路线啊,入门书籍啊,视频啊,大佬经验啊.寒假的时候看道哥的《白帽子讲web安全》前面还好,勉强看的懂,越看越觉得自己还要学好多前置知识点。就放下了。个人觉得不太适合入门。有一定基础后再回头品味会比较好。其实我一直挺后悔自己学的太晚了,别人在我这个年龄都组队去打CTF了(我的目标就是作为一只web狗去参赛啊~) 。后来我从网上找了网易云的web安全微专业视频课程,说实话,看目录觉得课程很成体系。但每一节都很短,比如XSS,CSRF......都只是讲了原理,好吧其实也有实例,看完后好像理解了却难以加以运用。再后来,我看cracer的渗透测试视频,很详细,嗯,很详细手把手教学.可是不适合我,一方面是感觉他有点过时,很多案例我自己去试就实现不了.另一方面是觉得他讲的主要是工具方面的使用.其实我是比较喜欢原理的,比如SQL注入很多都是工具实现不了的,需要手工注入.其实我刚开始学渗透的时候是很受挫败的,找不到网站去测试,测试也大多失败.不过,说实话我的热情从没降低过,学渗透时候的那种感觉是难以言喻的快感.然后我发现了一个平台 实验吧 用虚拟机构建了攻防环境.真的玩的爽啊.其实类似的平台有很多i春秋啊什么的.
下面整理下我这周的学习笔记:
kaliLinux部分工具:
- 中间人代理工具
- 拦截http请求,在请求过程中修改数据
- 保存整个http请求的数据
- 延迟客户端的请求和响应
- 反向代理功能
- 透明代理功能
- 使用Python做修改
- 支持https请求的中间代理功能
- OWASP Zed Attack Proxy Project攻击代理(简称ZAP)是一款查找网页应用程序漏洞的综合类渗透测试工具.它包含了拦截代理,自动处理,被动处理,暴力破解,端口扫描以及蜘蛛搜索等功能
- OWASP ZAP为会话类调试工具,调试功能对网站不会发起大量请求,对服务器影响较小