12.28
这个网站是我很早之前就想攻下的,经历大概如下:
1、想借着ctf的劲头去看看此网站,但是失败,原因是,ctf跟实战完全是两码子事儿啊!此网站的情况比较复杂,大部分是静态页面也就是html,静态页面的漏洞真的真的真的特别少,再加上防火墙,url访问限制,目录限制,难度还是挺高的。而且这个网站的防火墙+ips还是挺强的,你稍微做出点异常举动,比如来个xss或者sql它就是限制你的访问并且报错了,嗯,情况大概就是这样子的。
2、以上的结论是我在对这个网站有了一定的了解之后做出的判断,看了一下那些高手们的入侵过程,出书那种,经验丰富就不说了,主要是他们都会用自已的知识体系加上自已写的工具去做这一工作,而且还有运气成分在里面,所以,难度也是挺大的。攻击和防御本来就是不分家的,会攻也会防,会防也会攻,大概这样。
3、更具体的就不说了,也没啥好说的,经验够丰富,懂得够多的,有时候,反而靠的是直觉或者思维,至于我,只能说,还在攻击当中,不做工具党是最基本的,如果只是工具党,那就算了,别说这个网站了,一个小站都黑不下的。
正如书上所说,搞安全的需要学习底层编程、C语言、perl、python、php、asp、.net、java、c++、调试漏洞、配置各种各样的web环境、熟练掌握od、ida、softice、windbg、软件破解、社工等只要只要跟互联网有一点关系都是必修之课,最关键的是,要时刻学习新东西,要跟得上互联网的发展,否则就会被淘汰。
所以,实战攻击从来就不是一件简单的事情,也不能一蹴而就,当然了,具体情况因人而异吧!大概这样。
12.19
这篇文章不会再更新,毕竟每个人的想法不一样,思维更是千差万别。同样一本书,同样一个知识点,都有人看出不一样的体会和感受,获得不一样的积累和灵感,更何况是在实践中,更何况,思维需要实践去实现,但是思维一定要走在实践的前面,否则就是白瞎。
最低0.47元/天 解锁文章
363
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
