【网络安全】学习路线

已于 2022-10-05 21:29:36 修改
阅读量620 收藏 1
点赞数
文章标签: 安全 web安全 网络 学习
于 2022-10-05 20:57:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571990/article/details/127176782
版权

Web 安全学习

1、红日安全HTB靶场

此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。

学习地址:https://github.com/hongriSec/Web-Security-Attack

2、 SQLI-Labs

专注于 sql 注入研究的靶场,共计 65 关,包含各种注入场景,解析过程网上很多,项目地址:

https://github.com/Audi-1/sqli-labs

3、 Upload-Lab

upload-labs 是一个使用 php 语言编写的,专门收集渗透测试和 CTF 中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。项目地址:

https://github.com/c0ny1/upload-labs

靶机包含的漏洞类型分类:

4、 XSS-LABS

针对 xss 漏洞的专项训练靶场,一共 20 关,涉及的知识点包括:

https://github.com/do0dl3/xss-labs

5、 SSRF-LAB

SSRF-LABS 有一个好看又简洁的界面,提供了最基本的 REST API 和客户端 WebHook 功能用于 SSRF 测试。项目地址:

https://github.com/m6a-UdS/ssrf-lab/

以此衍生出的新的靶场,基于实际环境的云基础设施攻击靶场 DVCA,项目地址:

https://github.com/m6a-UdS/dvca

项目以 AWS 为目标云,通过 SSRF 漏洞获得云基础设施的管理员权限。

6、 综合漏洞靶场 pikachu

Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。

项目地址:

https://github.com/zhuifengshaonianhanlu/pikachu

7、 综合漏洞靶场 DVWA

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助 web 开发者更好的理解 web 应用安全防范的过程。项目地址:

https://github.com/digininja/DVWA

8、 DVWA 的衍生品 DVWA-WooYun

DVWA-WooYun 是基于 wooyun 历史真实漏洞而设计的漏洞靶场, 项目地址:

https://github.com/lxj616/DVWA-WooYun

9、 综合漏洞靶场 WebGoat

WebGoat 是一个由 OWASP 维护的 Web 应用程序靶场环境,旨在帮助大家学习 web 应用程序的漏洞原理及测试方法。

项目地址:

https://github.com/WebGoat/WebGoat

该项目使用 java 语言开发,涉及漏洞包括 OWASP Top10,参考文档:

https://owasp.org/www-project-webgoat/

10、 漏洞复现靶场 Vulhub

Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。项目地址:

https://vulhub.org/

使用文档:

https://vulhub.org/#/docs/

当前涉及漏洞环境 200 个,Github 项目地址:

https://github.com/vulhub/vulhub

渗透测试

11、VulnHub

Vulnhub 它是一个提供各种漏洞环境的平台,里面大部分的环境是要用 VMware 或者 VirtualBox 打开运行的。目前该项目已累计设计开发 700+ 靶场,官方网站:

https://www.vulnhub.com/

参考文献:

https://mp.weixin.qq.com/s/J92KgpkYv4EFSc0KIxAqqw(作者:信安之路 myh0st)https://mp.weixin.qq.com/s/w8owTlsi4VrzvISq46kdRAhttps://mp.weixin.qq.com/s/vKyryRrVxcf9e2uBv3yhRA

12、 vulnstack

红蓝对抗,内网、域渗透最新靶场:地址:http://vulnstack.qiyuanxuetang.net/vuln/

下载靶机,导入虚拟机即可开始

 

 

小黑安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SSRF与靶场(史上最详细)
qq_34598847的博客
10-17 1143
SSRF漏洞介绍:SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。SSRF漏洞原理:SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。
从0到1完全掌握 SSRF
mingyqf的博客
05-23 889
原文链接:https://www.freebuf.com/articles/web/333318.html Drunkbaby 2022-05-16 22:00:25 40630 博客地址 芜风 从0到1完全掌握 SSRF 二刷漏洞:知其所以然 <-> 知其然 -> 懂其攻 -> 知其守 主要结合 SSRF-Lab 进行 SSRF 的学习。 搭建SSRF-Lab 0x01 前言 刚二刷完 CSRF,继续 SSRF SSRF 主要是由于一些危险
SSRF-labs-master靶场
最新发布
weixin_68416970的博客
07-30 675
SSRF-labs-master靶场
ssrf-lab详解看ssrf
hxhxhxhxx的博客
12-26 2237
ssrf-lab详解basicadvanced1 前言:首先需要下载ssrf-lab https://github.com/m6a-UdS/ssrf-lab 然后,使用docker搭建服务 docker-compose up -d 静默开启服务 这个是有compose.yml存在时候,在同级目录下使用 停止 docker-compose stop 清除 docker-compose kill 如果没有的话, 直接./Makefile执行文件即可 我们查看我们的镜像,然后进行run basic ad
SSRF最全总结(协议,绕过)
weixin_50464560的博客
01-13 1万+
https://www.anquanke.com/post/id/262430#h3-46   SSRF-Labs配置 有些初学者喜欢用这个靶场,讲下怎么搭建 我用的是Ubuntu18;docker和docker-compose配置可以参考vulhub官网的配置;下面是谷歌搜的 $ curl -sSL https://get.docker.com/ | sh #脚本安装docker $ apt install docker-compose #安装docker compose Basic关和
网络安全常见练习靶场
xnxqwzy的博客
06-14 306
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里。
网络攻防网站
寂寞灵魂
11-09 2610
著作权归作者所有。 商业转载请联系作者获得授权,非商业转载请注明出处。 作者:周知日 链接:http://www.zhihu.com/question/24740239/answer/28872069 来源:知乎 DVWA: Damn Vulerable Web Application DVWA - Damn Vulnerable Web Application 基于 p
wooyun内网渗透教学分享之内网信息探测和后渗透准备
weixin_30470643的博客
01-23 251
常规的,从web业务撕开口子url:bit.tcl.comgetshell很简单,phpcms的,一个Phpcms V9 uc api SQL的老洞直接getshell,拿到shell,权限很高,system看看网卡信息 只有一块网卡,处于10.4.22的私网地址在这里,如果我们想要通过这台机器对内网进行渗透,首要工作就是进行内网探测,介绍几个方法0x00如果你只是需要对内网的业务...
wooyun.7z乌云数据库
10-22
wooyun.7z乌云数据库
CTF-WEB总结之SSRF利用
weixin_41038905的博客
05-01 2519
1、dirsearch目录扫描 看不到内容是由于php的<被当做一个注释。php的格式 <?php ... ?> 通过dict协议探测端口
CTF web题总结--SSRF
热门推荐
bob的博客
08-29 1万+
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内网。(正因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网) SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。即SSRF漏洞就是通过篡改 获取
乌云内部漏洞扫描工具.zip
03-07
乌云虽然已经关闭了,但是乌云之前开着的时候一直是信息安全行业学习的一个标杆网站,这个传闻中的乌云内部工具真的是及几年内的大小几点漏洞为一体,全自动渗透神器内置各种渗透所需功能,漏洞检测 CMS识别 URL采集 C段扫描 URL扫描 数据重放 端口扫描 同服查询 目标精简 SHELL管理,可以去刷榜了
乌云文章Drops离线版打包大全
08-02
乌云文章Drops离线版打包大全 应该是最全的
乌云漏洞库/知识库离线下载-附件资源
03-05
乌云漏洞库/知识库离线下载-附件资源
stuxnet(震网)的详细分析
06-12
stuxnet(震网)的详细分析文档,详细分析了stuxnet的每个阶段。
ssrf-lab:探索SSRF漏洞的实验室
05-22
实验室 探索SSRF漏洞的实验室 10月4日的实验室位于/ ctf目录中:-)
Vulnhub靶场Prime_Series_Level-1渗透
m0_65712192的博客
02-12 1699
Vulnhub靶场Prime_Series_Level-1渗透
16个网络安全常用的练习靶场(小白必备)
WLANQY的博客
01-30 3473
mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。DVWA-WooYun是一个基于DVWA的PHP+Mysql漏洞模拟练习环境,通过将乌云主站上的有趣漏洞报告建模,以插件形式复现给使用该软件的帽子们,可以让乌云帽子们获得读报告体验不到的真实感,在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式 中英双字,如果您语文学的不好不必担心了,界面提示英文的(DVWA原厂),内容提示中英双字(后来觉得比较眼花,所以去掉了部分英文)
渗透学习-靶场篇-dvwa靶场详细攻略(持续更新中-目前只更新sql注入部分)
qq_43696276的博客
06-10 2640
在完成基础学习后,现在开始正式的打dvwa的靶场。由于目前,主要只学习了sql注入,因此,对于dvwa靶场的攻略仅有sql注入的部分。
网络安全学习路线
06-03
引用中提到了网络安全学习路线,但没有具体的图示。一般来说,网络安全学习路线可以分为以下几个阶段: 1.基础阶段:学习计算机基础知识、网络基础知识、操作系统基础知识、编程语言基础知识等。 2.网络安全基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黑安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值