本文记录了一位安全爱好者对网络渗透的理解和实践经验,探讨了实战与CTF比赛的区别,强调了学习底层知识和编程技能的重要性。作者分享了针对国家级网站的渗透挑战,认识到攻防并重,决心打造自己的安全工具,目标成为全栈工程师和科学家。
12.28
这个网站是我很早之前就想攻下的,经历大概如下:
1、想借着ctf的劲头去看看此网站,但是失败,原因是,ctf跟实战完全是两码子事儿啊!此网站的情况比较复杂,大部分是静态页面也就是html,静态页面的漏洞真的真的真的特别少,再加上防火墙,url访问限制,目录限制,难度还是挺高的。而且这个网站的防火墙+ips还是挺强的,你稍微做出点异常举动,比如来个xss或者sql它就是限制你的访问并且报错了,嗯,情况大概就是这样子的。
2、以上的结论是我在对这个网站有了一定的了解之后做出的判断,看了一下那些高手们的入侵过程,出书那种,经验丰富就不说了,主要是他们都会用自已的知识体系加上自已写的工具去做这一工作,而且还有运气成分在里面,所以,难度也是挺大的。攻击和防御本来就是不分家的,会攻也会防,会防也会攻,大概这样。
3、更具体的就不说了,也没啥好说的,经验够丰富,懂得够多的,有时候,反而靠的是直觉或者思维,至于我,只能说,还在攻击当中,不做工具党是最基本的,如果只是工具党,那就算了,别说这个网站了,一个小站都黑不下的。
正如书上所说,搞安全的需要学习底层编程、C语言、perl、python、php、asp、.net、java、c++、调试漏洞、配置各种各样的web环境、熟练掌握od、ida、softice、windbg、软件破解、社工等只要只要跟互联网有一点关系都是必修之课,最关键的是,要时刻学习新东西,要跟得上互联网的发展,否则就会被淘汰。
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
