PortSwigger网络安全学院学习路径

最新推荐文章于 2023-06-12 18:16:52 发布
最新推荐文章于 2023-06-12 18:16:52 发布
阅读量832 收藏 3
点赞数
分类专栏: PortSwigger学院 文章标签: 网络安全
原文链接:https://portswigger.net/web-security/learning-path
版权

本文翻译自:Learning path | Web Security Academy - PortSwigger

 

以下是如何充分利用网络安全学院的方法

        如果你是网络安全新手,可能很难知道从哪里开始。这就是为什么我们给出这条建议的学习路径,为你指明正确的方向。我们建议你按顺序完成实验,但是如果遇到困难,那就继续下一个主题。一旦你增长了技能,你可以再回来解决这些有挑战的实验。

        当你开始培养你的网络安全测试技能时,你可以尝试考取我们的Burp Suite从业者认证来测试自己的技能。在你准备尝试Burp Suite从业者认证考试之前,你应该能够轻松完成网络安全学院中所有标有Practitioner(从业者)或更低级别的实验。完成实验没有固定的时间框架,但你必须能够在不需要访问所提供的解决方案的情况下完成。

服务器端主题

        对于小白来说,我们推荐从服务器端主题开始。这些漏洞通常更容易学习,因为您只需要了解服务器上发生了什么。我们的学习材料和实验将帮助您开发一些核心知识和实用的技能。

  1. SQL注入
  2. 认证漏洞
  3. 目录穿越
  4. 命令注入
  5. 业务逻辑漏洞
  6. 信息泄露
  7. 访问控制
  8. SSRF
  9. XXE注入

客户端主题

        客户端漏洞更加复杂,这会使它们稍微更具挑战性。这些学习材料和实验将帮助你在已经学习的服务器端技能基础上,教你如何识别和利用一些有挑战的客户端漏洞。

  1.  XSS
  2. CSRF
  3. CORS
  4. 点击劫持
  5. 基于DOM的漏洞
  6. WebSockets漏洞

高级主题

        这些主题不一定更难掌握,但它们通常需要更深的理解和更宽的知识范围。我们建议在进行这些实验之前先掌握基础知识,其中一些实验是基于我们世界级研究团队发现的开创性技术。

  1. 不安全的反序列化
  2. SSTI
  3. Web缓存投毒
  4. HTTP_Host头攻击
  5. HTTP请求走私
  6. OAuth认证
周无争
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
protSwigger下的SQL注入系列--Lab1(检索隐藏的数据)
weixin_44746974的博客
10-23 467
protSwigger下的SQL注入系列–Lab1(检索隐藏的数据) 在不同情况下会出现各种SQL注入漏洞,攻击和技术。一些常见的SQL注入示例包括: 检索隐藏的数据,您可以在其中修改SQL查询以返回其他结果。 颠覆应用程序逻辑,您可以在其中更改查询以干扰应用程序的逻辑。 UNION攻击,您可以在其中从不同的数据库表中检索数据。 检查数据库,您可以在其中提取有关数据库版本和结构的信息。 盲SQL注入,其中您控制的查询结果未在应用程序的响应中返回。 第一步:进入实验,判断是否存在注入点: 1、2 开始
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
Portwigge的Web安全漏洞训练平台SSRF通关
st3pby的博客
11-16 1356
Portwigge的Web安全漏洞训练平台SSRF通关
Web-Security-Learning
Grey的博客
01-18 3163
Web-Security-Learning学习Web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。同步更新于: chybeta: Web-Security-Learning (带目录) 12月21日更新:新收录文章sql注入SQL注入的“冷门姿势”MySQL绕过WAF实战技巧NetSPI SQL Injection WikiXSSBrowser's X
portswigger 目录遍历&文件上传
weixin_63231007的博客
09-25 1650
因此,每个请求的路径可以与服务器文件系统上的目录和文件的层次结构 1:1 映射。在这种情况下,即使您需要的文件扩展名被列入黑名单,您也可以欺骗服务器将任意自定义文件扩展名映射到可执行的 MIME 类型。一种方法是上传更大的文件。如果它以块的形式进行处理,您可以通过在开始时创建一个带有有效负载的恶意文件,然后是大量的任意填充字节来利用这一点。例如,如果文件被加载到具有随机名称的临时目录中,理论上,攻击者应该不可能利用任何竞争条件。在图像上传功能的情况下,服务器可能会尝试验证图像的某些内在属性,例如其尺寸。
【安全测试软件丨Portswigger】上海道宁为您提供安全工程师必备工具——Burp Suite
Acunetix的博客
05-09 1400
Burp Suite是全球安全专业人士的选择,强大的安全渗透漏扫工具。能实现从漏洞发现到利用的完整过程功能强大、配置较为复杂、可定制型强、支持丰富的第三方拓展插件
PortSwigger】SQL注入实验全记录
leo788的博客
05-12 867
靶场是Burp自带的网站中提供的,本篇主要对sql注入部分进行练习和记录。
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程.zip
最新发布
11-01
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程 #### 有用的设置信息 (1) 每个应用程序都作为 WAR 文件分发在`/SUT/*.war`中; (2) 应用程序的数据库位于WAR 文件中。您可以在加载 SUT 后使用...
BurpSuite_Pro_v1.7.37.zip
04-13
Burpsuite Web安全工具中的瑞士军刀 统一的集成工具发现全部现代WEB安全漏洞 PortSwigger公司开发 所有的工具共享一个能处理并显示HTTP消息的可扩展框架,模块之间无缝交换信息
buby:PortSwigger Burp Suite 的 BurpExtender 接口的 JRuby 实现
06-08
说明: Buby 是 JRuby 与 PortSwigger 流行的商业 Web 安全测试工具 Burp Suite 的混搭。 Burp 由使用 BurpExtender API 的 Java 扩展或使用新的嵌入式 JRuby 支持的 JRuby BurpExtender 实现驱动并绑定到 JRuby。 ...
swurg:将OpenAPI文档解析到Burp Suite中以自动执行基于OpenAPI的API安全评估(PortSwigger批准将其包含在其官方BApp Store中)
02-03
OpenAPI规范(OAS)为REST API定义了标准的,与编程语言无关的接口描述,使人和计算机都可以发现和理解服务的功能,而无需访问源代码,附加文档或检查网络流量。 通过OpenAPI正确定义后,使用者可以使用最少的实现...
HTTP请求走私 | PortSwigger(burpsuite官方靶场)| part 1
bin789456的博客
04-30 1802
写在前面 在开始之前,非常容易弄混的一点是,HTTP请求走私究竟发生在哪里? 答案是发生在负载均衡。开始之前,首先需要区别,负载均衡和cdn: 简单来说,负载均衡是一个反向代理,使用它的目的是能够对请求进行有效的分发。因为当前服务器都是分布式的,对于请求也必须做出区分,在负载均衡的两侧分别是请求池和服务器池,它就是通过各种简易或复杂的算法进行分发请求至最优策略的服务器。对于用户来说,仅仅是将请求发往这个代理,无需管后面的,而对于后端数据库,也不管是哪一个用户来进行调度数据,服务器自己来调就行,有着明显的分隔
portswigger_文件上传漏洞
(∪.∪ )...zzz的博客
05-13 1155
这里写自定义目录标题一、是啥1. 什么是文件上传漏洞2. 文件上传漏洞如何出现3. web服务器如何处理静态的文件请求二、类型1. 任意上传以部署webshelllab:上传webshell进行远程代码执行2. 文件类型验证存在缺陷lab:上传webshell 通过Content-Type 限制绕过3. 防止文件执行lab:上传webshell通过目录遍历4. 黑名单不足4.1 覆盖服务器配置lab: 通过黑名单之外的上传webshell——.htaccess4.2 混淆文件后缀lab5:文件后缀混淆来绕过
PortSwigger靶场CSRF最新版详细通关记录
LawnCat的博客
02-16 1438
该文章为portswigger中CSRF中绕过token篇。
portswigger靶场中目录遍历
剁椒鱼头没剁椒的博客
01-15 1224
Bp靶场有点类似于常见的DVWA靶场、piachu靶场,里面富含多种不同类型的漏洞,并且每个靶场都有针对性,例如sql注入,从最简单的判断开始,逐步的增加难度,并且每一个靶场都附带介绍以及通过方式,能够让新人快速的了解原理并且针对性练习。
PortSwigger web缓存中毒(Cache Poisoning
weixin_42451330的博客
06-12 1453
Web缓存中毒(Web Cache Poisoning)是一种攻击技术,攻击者通过操纵Web应用程序的缓存系统,将恶意或欺骗性内容注入到合法的缓存中,以欺骗用户或绕过安全控制。Web缓存中毒的原理是利用缓存服务器在接收到请求后,将响应保存在缓存中并将相同响应返回给后续请求的用户。攻击者通过在请求中操纵参数、头部或URL等,使缓存服务器错误地将恶意或欺骗性响应存储在缓存中。当其他用户发起相同请求时,缓存服务器将返回被注入的恶意响应,从而达到攻击的目的。
2020-12-18
LPL_hacker的博客
12-18 1013
这个问题是由 PortSwigger CA 所造成,它是您的计算机或您所在网络中的软件。 Burp Suite未连接:有潜在的安全问题 PortSwigger CA 造成 分享一次艰难的拯救经历: 首先说明发生此问题的症状: 只要你打开可BurpSuite,所有的浏览器的所有的网页都无法访问。 其次说明我发生此现象的原因: 应该是手欠,再就是可恶的Windows Defender提示,不小心删除了PortSwigger CA造成的。 现象如下图: 这个问题首先我的情况比较特殊,因为我平时
PortSwigger 跨站点脚本(XSS)
weixin_42451330的博客
11-30 1548
本文介绍PortSwigger靶场 跨站点脚本(XSS),包括反射型、存储型、DOM型。如有疑问欢迎私聊。
几大高薪安全认证,考取一个离娶“白富美”就不远了!!
xiangxue666的博客
02-25 257
几大高薪安全认证,考取一个离娶“白富美”就不远了!!
portswigger Authentication
07-28
PortSwigger是一家网络安全公司,他们开发了一款名为Burp Suite的强大的网络安全测试工具。在Burp Suite中,有一个功能模块是用于进行身份验证测试的,即Authentication模块。这个模块可以帮助安全专业人员测试应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值