零基础小白,到底该如何入门渗透测试?建议收藏​

最新推荐文章于 2024-09-28 00:15:00 发布
最新推荐文章于 2024-09-28 00:15:00 发布
阅读量132 收藏
点赞数
分类专栏: 网络安全 文章标签: web安全 安全 网络安全 渗透测试 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74942241/article/details/131271153
版权

很多朋友想要入行渗透测试,但是都不知道该怎么学。

今天刚好有空简单的给大家说下,对于零基础基础的同学,应该怎么去学习渗透测试。

学习过Web渗透的同学应该都知道Web入门简单,但是深入难,相关的知识浩如烟海,而且很大一部分知识点都相对零散,如果没有相对清晰的脉络作为参考,会给学习带来一些不必要的负担。因此,在学习渗透测试之前规划出一条科学的学习路线能让少走不少弯路。这里我尝试将Web渗透庞大的知识体系尽量简化通俗易懂的记下来,希望能对你有帮助

好了,正式开始讲了。

第一阶段:Web基础

Web基础是渗透测试最最重要的部分。正所谓Web安全渗透,首先就是建立在Web技术之上的,绕开这些技术谈安全谈渗透,那便注定成为只会工具的[脚本小子]。

那么Web基础要学到什么程度呢?

  • 是否能够从零开始搭建起一个网站?(网站架构)
  • 是否了解 HTTP 协议原理?例如用抓包软件分析过 HTTP请求和响应包有什么内容?(Web[通信协议]
  • 是否能看懂网页源码,或者用 HTML / CSS / JavaScript 做过前端页面?(Web前端)
  • 是否清楚什么是 MVC/MTV 架构,或者用 Python / PHP / Java 做过后端架构?(Web后端 )
  • 是否了解过常见的 Web容器/中间件,或者用过 Apache / Nginx / Tomcat?(Web容器)
  • 是否掌握任一常见的[数据库技术]),包括但不限于 MySQL / SQLsever / Oracle?(数据库)

嗯,大概就是以上的内容吧,以上内容基本都是理论和文档能力、只要你肯背、肯写,都是能独立的掌握的。而且网上也有非常体系化的教程,善用[搜索引擎]

推荐书籍:

  • 《PHP从入门到精通》
  • 《MySQL数据库入门》(传播智客)
  • 《Python零基础入门学习》(小甲鱼)
  • 《图解 HTTP 》

第二阶段:学习漏洞原理以及安全工具的使用

Web基础学完了过后,应该学习漏洞的原理和安全工具的使用了。
其实这部分的学习真的没有那么难,最主要的就是实践。

无实战,不安全。这个阶段需要去做大量的靶场、CTF、也可以尝试去挖挖SRC。在实践中理解原理,拓展学习。

下面我会列出需要学习的工具和知识点,按顺序学习就好

常见漏洞:

  • SQL
  • XSS
  • 文件上传
  • 逻辑漏洞(支付漏洞、密码找回、[验证码]
  • CSRF
  • XXE
  • 代码执行
  • 命令执行
  • 变量覆盖
  • 文件包含
  • SSRF

常用安全工具:

信息收集:

  • 搜索引擎Google Hacking
  • 搜索引擎 Shodan Hacking
  • 搜索引擎Zoomeye Hacking
  • 目标扫描 Nmap
  • 目标扫描 OpenVAS
  • 域名遍历 Dirbuster
  • 域名遍历御剑后台-Layer子域名
  • [指纹识别]Whatweb
  • 指纹识别 httprint

[漏洞扫描]:

  • BurpSuite
  • AWVS
  • Appscan
  • OWASP ZAP

注入工具:

  • Sqlmap
  • Havij

XSS/CSRF漏洞:

  • BeEF

文件上传

  • [中国菜刀]
  • Cknife
  • edjpgcom
  • 一句话

这部分的学习很多同学都会苦恼应该去哪里找靶场练习,这里我给大家推荐下面这个入门视频,每节课程都是实战教学,并且每节课程都配备了相对应的靶场。零基础的同学在学习完漏洞原理知识后再去靶场实践相关安全工具的使用。在实战中验证理论、拓展学习。报名后可免费获取全套渗透工具,感兴趣的同学赶紧点击报名吧!

第三阶段:[代码审计]

其实学完了以上两个部分,就已经具备了一个初级渗透测试[工程师]的能力了。但是如果你想要拿到20K左右的薪资的话,就应该开始学习代码了,关于语言的选择,我推荐Python

不过不用像开发那样,学的那么深入。要清楚自己的定位并不是开发,所以我们只需要看得懂就可以了,但是基础的语言要会

推荐书籍:

《代码审计:企业级Web代码安全架构》

以上就是从0开始入门的攻略了,如果你还是有问题的话,可以私聊,我们一起讨论学习

从靠劳力赚钱转变成靠脑力赚钱,想入门渗透测试的小白肯定想知道如何学好?

👉[[[CSDN大礼包:《黑客&网络安全入门&进阶学习资源》免费分享]]]安全链接,放心点击

一、网安学习成长路线图

Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。(全套教程文末领取哈)
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述
这份完整版的学习资料已经上传CSDN,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】

程序员小猴紫
关注
专栏目录
从零开始学安全--第1天
Little_veget_dog的博客
03-20 270
什么是web安全 首先从web安全开始入门安全的核心问题当然是漏洞。 系统漏洞现在已经不多见(例如:缓冲溢出致使主机蓝屏等);web漏洞:常见的sql注入、xss攻击、csrf伪造跨站请求等。 了解web渗透最基本的过程 kali虚拟机的安装与配置 ...
谁来教我渗透测试——黑客必须掌握的HTML基础(一)
菜鸟小白的学习分享
08-07 762
小伙伴们,好几天不见了,这一周菜鸟小白工作很忙,所以没有每天更新学习内容,但是菜鸟小白的学习是没有停下来的,只是没有时间来整理学习笔记了。现在就将菜鸟小白这两天学习的HTML基础和大家分享,其中还会拿一些标签进行举例,显示效果。 HTML概述 HTML语言是一种标签语言,它不需要编译,可以直接由浏览器执行。在标准网页设计中HTML负责填充网页的内容,HTML编写的超文本文档(文件)称之为HTML文档(网页),它包含了一些html元素,使用html或者htm为文件名后缀,能独立于各种操作系统平台,如Unix、
从零开始学渗透
qq_41263192的博客
02-27 180
最近发现了Windows可以安装Linux系统,想要在弄一个Linux环境来安装一些工具辅助工作使用。 这里我选择了debian系统,其实有kali系统的,但是kali系统需要Windows10的2014版本,我当前的版本并不支持使用kali系统,所以就来安装debian系统。 首先商城中安装完毕之后需要开启可选功能:适用于Linux的Windows子系统 控制面板-查看方式->类别 -启用或关闭windows 功能或运行 appwiz.cpl –启用或关闭windows 功能,然后勾选 “适用于l
渗透测试入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
xx16755498986的博客
07-05 6210
渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。一定要注意的是,在进行渗透测试前,需要获得目标客户的授权,如果未获得授权,千万不要对目标系统进行渗透测试,后果请查看《网络安全法》。同时要有良好的职业操守,不能干一些违法的事情。2. 为什么要学渗透测试心理满足感。
渗透测试入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
热门推荐
Python_0011的博客
01-07 3万+
渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。一定要注意的是,在进行渗透测试前,需要获得目标客户的授权,如果未获得授权,千万不要对目标系统进行渗透测试,后果请查看《网络安全法》。同时要有良好的职业操守,不能干一些违法的事情。网络安全产业就像一个江湖,各色人等聚集。
如何学习渗透测试?从零基础入门到精通(超详细),看完这一篇就够了
fly_enum的博客
11-28 1030
泛舟网安这片海,从此无缘新发型。作为网络安全行业热门岗位的渗透测试岗位的螺丝钉中的一员,从事安全行业4年有余。在除了日常感叹岁月静好,头发稀疏之外,也逐渐对行业的认知不停的加深,毕竟拿我一头“秀发”换的,实属不易。
谁来教我渗透测试——黑客必须掌握的HTML基础(二)
菜鸟小白的学习分享
08-09 314
今天我们继续看看html的学习笔记。 文本标签 标题标签<hn> 将文本设置为标题显示的标签对。设定标题字体大小,n=1(大)~6(小),标题大小一共有6种,也就是从<h1>……</h1>到<h6>……</h6> <html lang="zh-cn"> <head> <meta content="text/html;charset=utf-8"> <title>菜鸟小白的学习分享</title&
web安全攻防渗透测试实战指南
weixin_67846882的博客
04-07 5021
1.Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
渗透测试与漏洞扫描有什么区别?
rqaz123的博客
03-08 1056
前几天,小A去一家网络安全公司面试。面试官问他:小伙子,你说一说渗透测试与漏洞扫描有什么区别? 作为小白新手的小A有点丈二和尚摸不着头脑,心想,这两者之间有区别吗?不都是发现漏洞、利用漏洞、拿服务器webshell、提权、内网渗透、权限维持这些工作吗? 但如果这样回答面试官的提问,多半都会与小A的结果差不多——面试失败。 那么渗透测试与漏洞扫描这两者之间究竟有什么区别呢?我们从以下几点进行分析说明。 一、概念 1、渗透测试并没有一个标准的定义。国外一些安全组织达成共识的通用说法是:通过模拟恶意黑客
Python零基础入门篇 - 04 - Pycharm插件安装与常用的插件
2401_83816970的博客
04-21 666
插件安装 - 方法二PyCharm 常用插件插件 - IdeaVim插件 - ignore插件 - Translation插件 - Markdown support插件 - Http Client插件安装注意事项PyCharm 插件安装插件是安装在特定程序上软件组件,以增强程序某项功能。 一个好的 IDE 都会提供插件平台,允许第三方在遵循插件平台集成条款的前提下,使用插件平台对外提供的能力,扩展出更广泛更丰富的功能。PyCharm 提供了大量商业与免费插件,内容涉及了方方面面,开发者根据工作的实际需要,可
从零开始内网渗透学习
Fly_鹏程万里
06-23 1万+
域环境搭建 准备: DC: win2008 DM: win2003 DM: winxpwin2008(域控) 1、修改计算机名:2、配置固定ip: 其中网关设置错误,应该为192.168.206.2,开始默认的网管3、服务器管理器---角色:4、配置域服务: dos下面输入dcpromoPs:这里可能会因为本地administrator的密码规则不合要求,导致安装失败,改一个强密码5、设置林根域:...
kali-简单渗透笔记
weixin_30750335的博客
01-12 2612
端口扫描 nmap -sS 目标ipArp 内网断网Arpspoof -i 网卡 -t 目标ip 网关获取网卡/网关ifconfig获取内网ipfping -asg 192.168.1.0/24Arp 欺骗echo 写命令,是不会有回显的ehco 1 >proc/sys/net/ipv4/ip_forward# 进行IP流量转发目标 --》 我的网卡 --》网关driftnet --&gt...
零基础如何学习Web安全渗透测试?推荐这份史上最详细的自学路线图!
m0_59991869的博客
09-11 4480
第 1 阶段 Web 技术入门 1.0 学习导论 此阶段,我们的学习目标是了解网络安全行业的法律法规 / 学习方法 / 求职目标,搭建属于自己的博客 / 论坛 / 网站(成为一名站长)、掌握 Web 技术架构、搞懂浏览器和网站之间的通信原理。 戳此获取网络安全资源 1.1 技能清单 Web 安全导论 法律法规 行业趋势 安全标准 学习指南 Web 网站实战 Web 建站指南(WordPress在线建站) XMAPP 原理与实践(Web集成环境解读) XAMPP 安装 WordPre
从零开始学渗透:Kali-linux的安装(VMware)。
weixin_43755952的博客
06-14 1640
VMware的安装方法就不过多介绍了,只要在官网选择适合自己的版本下载即可,链接下方自取。https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html 因为本人是刚接触渗透,安装的Kali是最新版,安装过程中的雷我已经帮你们踩的差不多了,有任何疑问在评论区提出,本人尽力解决。 第一步:首先去Kali的官网选择合适的镜像文件,链接下方自取。 https://www.kali.org/downloads/ 在这里
网络安全证书考取相关知识
aa98865646的博客
09-21 755
作者是个想进入网络安全行业发展的小白,目前没啥钱,是想自学以后挖漏洞赚钱的,看了这两个算是比较常见的证书看起来都要花不少钱的话,我感觉自己还是先自学一段时间再说吧,实战更重要,这些证书等以后有机会慢慢考吧,如果需要的话。欢迎大佬补充其他适合小白考取的证书,目前感觉4800+480的NISP一级证书比较适合在学校的小白,CISP的话再NISP考到二级以后再加钱4000就可以换成CISP了,NISP适合学生,CISP适合职场啊,不过都是要钱啊。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-24 651
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
信息安全工程师(24)网络安全体系建设原则与安全策略
最新发布
m0_73399576的博客
09-28 672
信息安全工程师——网络安全体系建设原则与安全策略篇
零基础入门:软件测试详解与分类
本资源是一份针对0基础和测试理论薄弱者的软件测试详细...这份教程涵盖了软件测试的基础知识,从入门到实践,帮助学习者逐步建立起对软件测试的全面理解,并提供了实用的方法和技术指导,适用于初学者自学软件测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值