关于各位跟我一样的萌新小白入门渗透通常都会面临两个局面:
- 从一开始的心高气傲的学习高端知识,到灰头土脸的学不会深受打击,然后开始怀疑自己,最后放弃
- 一开始先沉下心学习基础知识,到莫名其妙的搞不懂有什么用,然后兴趣消磨,最后放弃
这就渗透测试的两条从入门到放弃的直通车。
- 在学习渗透测试时,很多小白都是带着浓厚的兴趣,每天寻找各种各样的论坛、群聊......
逮到一部视频就立马观看,看完视频后不仅一脸的蒙,还十分痛苦。
为什么啊?
因为不懂啊!
- 网上的视频大部分都是补习班的录播。许多朋友的基础不一样,导致学习的效率也是参差不齐的。少部分基础好一点看完视频后或许能收获很多,而更多的是零基础小白,看完视频后什么都没学到
- 这不仅花费了时间,还消磨了兴趣。
- 那么像这种零基础的小白应该怎么学习才能高效有效呢?
- 第一点:
不要一上来就直接看视频,先去了解了解网络基础,因为所有的网络通信都涉及它 (假设你都不知道网站在互联网上是以什么样的形式工作的,你怎么去测试)
网络基 础大致要学习的内容如下:
1、HTTP基础(版本、协议、报文)
2、TCP/IP四层模型
3、OSI七层架构
- 第二点:
编程语言
学好一门编程语言对于渗透测试来说,事半工倍。(网站涉及到很多脚本,有时候漏洞往往会存在在脚本里)
编程语言大致要学习的内容如下:
- Python—兼容性最好的语言,适合跨平台开发
- Java—全能语言
- Jacascript—直译式脚本语言(学会它,漏洞随时有)
- HTML—超文本标记语言(渗透测试中常见)
- PHP—我说是世界上最好的语言估计会被打
- 第三点:
学习在VMare中搭建kali虚拟机(正如安全圈子里的一句话:kali学的好,监狱蹲到老)
当然,这是开玩笑,但也由此可见kali的用途之大。
- 第四点:
安全工具,安全工具能够帮助我们更好的检测网站上存在的漏洞,下面列举的几款工具都是目前最流行的。
AWVS(web应用漏洞扫描工具)
Metasploit (开源的安全漏洞检测工具)
Burpsuite(攻击web 应用程序的集成平台)
Sqlmap (开源的渗透测试工具)
Nmap (网络扫描和主机检测工具)
Nessus (系统漏洞扫描与分析软件)
- 第五点:
学会百度!
当我们开始信心满满的观看视频,跟着视频一起操作,但不是这不行就是那不行。因为兴趣的支持,开始去各种论坛、Q群、微信群里问大佬,可是一个问题问下来之后,发现根本没有人理你。群里的大佬们要么继续聊着自己的,要么你一发了问题就安静下来。
慢慢的,你就失去了兴趣,开始怀疑自己。
其实,这并不是你的问题!
因为你要知道,群里那么多人,有可能你的问题已经被别人提前一步捷足先登了。而一个问题被翻来覆去的问,是个正常人都会觉得烦。
所以这时候就需要你学会去百度!
当然,百度也是有方法的,在百度的过程中你要学会详细的将问题描绘出来。
列如:你将一个靶场安装好后,兴高采烈的用浏览器将它打开,然后报出一串错误代码。而这时候你需要做的就是将此串错误代码复制、粘贴进行百度。
- 第六点:
Web安全漏洞,这个是我们渗透测试的重头戏,前面所有的学习就是为了如何在网站上寻找漏洞做准备。
掌握了以上知识后,恭喜你,成功入门渗透测试。(敲黑板:指的可不是你看完文章就能入门。燥起来,去学习去学习)
注:本人也是正在努力学习渗透的小白,在学习的过程中有任何疑问(比如:电脑开机键在哪里),都可以向我提出来,也可以私信,我们一起解决。
学习的过程应该是快乐有趣的。学如逆水行舟,不进则退。