目录
相关网站推荐
WEB(应用)安全
学习路线
推荐
书籍
网站
在线靶场
基础
XSS攻击
CSRF漏洞
劫持攻击
点击劫持
SSRF漏洞
文件包含漏洞
文件上传漏洞
XXE漏洞
WebShell
解析安全
RCE漏洞
SQL注入漏洞
反序列化漏洞
条件竞争
通信安全
应用层
传输层
网络层
身份认证与访问控制
弱口令爆破
渗透测试
学习路线
基础知识
推荐
书籍
练习靶场
信息收集
漏洞扫描
渗透攻击
现代密码学
CTF
项目推荐
比赛推荐
模糊测试
AFL
文件模糊测试
插桩
java插桩
WEB(应用)安全
学习路线
WEB安全学习路线
想法:分别学习各个模块,搭建靶机进行练习,做CTF中的WEB安全题,然后再看懂后台代码,为什么会有漏洞,接下来复现一些CVE制作成镜像给看雪等CTF比赛官方,最后学习metasploit等软件,以宏观的角度,从情报搜集开始到漏洞利用做整个渗透报告,最后将靶机的漏洞危险程度由low->impossible(感觉并没有那么多时间…慢慢来吧)。和我一起来学习WEB安全吧!!!
推荐
书籍
入门
- 《白帽子讲Web安全》 2012
- 《Web安全深度剖析》2015
- 《Web安全攻防 渗透测试实战指南》2018
进阶
- 《WEB之困-现代WEB应用安全指南》 2013
- 《内网安全攻防渗透测试安全指南》 2020
- 《Metasploit渗透测试魔鬼训练营》2013
- 《SQL注入攻击与防御》2010
- 《黑客攻防技术宝典-Web实战篇(第2版)》
网站
接下来开始学习,理论并非纯理论,也有靶机攻击举例,实战一般使用离线或线上靶机。
在线靶场
基础
web安全必备:
学xss注入时再看也可:
学sql注入时再看也可:
漏洞排行:
XSS攻击
----------------------------------理论----------------------------------
---------------------------------实战-----------------------------------
靶机:dvwa
网络安全-靶机dvwa之XSS注入Low到High详解(含代码分析)
靶机:pikachu
网络安全-靶机pikachu之xss注入与代码分析(XSStrike实战)
靶机:xssplatform
CSRF漏洞
----------------------------------理论与实战----------------------------------
劫持攻击
点击劫持
----------------------------------理论----------------------------------
网络安全-点击劫持(ClickJacking)的原理、攻击及防御
SSRF漏洞
-----------------------------理论及实战--------------------------------
文件包含漏洞
-----------------------------理论及实战--------------------------------
文件上传漏洞
-----------------------------理论及实战--------------------------------
XXE漏洞
-----------------------------理论及实战--------------------------------
WebShell
解析安全
RCE漏洞
----------------------------------理论----------------------------------
SQL注入漏洞
----------------------------------理论----------------------------------
---------------------------------实战-----------------------------------
靶机:dvwa
网络安全-靶机dvwa之sql注入Low到High详解(含代码分析)
靶机:sqlilabs
Less2差不多,整型参数错误,sql语句为 SELECT * FROM users WHERE id=$id LIMIT 0,1
反序列化漏洞
----------------------------------理论与实战--------------------------------------
条件竞争
通信安全
----------------------------------理论与实战--------------------------------------
应用层
网络-https协议学习笔记(SSL、TLS、CA、抓包与修改)
网络-Telnet协议与SSH协议(命令、免密登录)及其安全性
传输层
网络层
网络-IP协议详解(报文格式、分类、NAT、子网、CIDR、抓包分析)
-----------------------------------实战-------------------------------------
身份认证与访问控制
弱口令爆破
----------------------------------理论----------------------------------
渗透测试
学习路线
学习路线
时间关系,仅关注渗透测试基础与WEB渗透相关的内容。
基础知识
kali
渗透测试-Kali Linux学习(Linux基础、Shell编程、渗透测试软件)
推荐
书籍
《Metasploit渗透测试魔鬼训练营》
《Metasploit渗透测试指南》
《KALI渗透测试技术实战》
练习靶场
信息收集
漏洞扫描
OpenVAS的安装、使用及实战(GVM,Metasploit使用)
渗透攻击
《MetaSploit渗透测试魔鬼训练营》之WEB应用渗透技术
现代密码学
基本知识
传统密码
对称密码
非对称密码
哈希函数与消息认证
数字签名
公钥管理
数字帧数
CTF
项目推荐
比赛推荐
全国大学生信息安全竞赛
["强网杯"全国网络安全挑战赛](https://www.qiangwangbei.com/ "“强网杯"全国网络安全挑战赛”)
KCTF
模糊测试
Fuzzing大合集
-包含fuzz书籍、课程、开源软件等
AFL
文件模糊测试
插桩
java插桩
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
【点击领取】网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享