二 、Web安全基础要学习那些知识呢?
1.对于系统的操作,比如window系统、linux系统、还有黑客最火的kali系统
2.数据库的学习(针对于web漏洞中的SQL注入)例如:MySQL数据库的基本操作
3.进行web安全渗透,就一定要了解web漏洞的原理,web常见的漏洞有SQL注入、xss漏洞、csrf、ssrf、文件上传、任意文件下载、弱口令、逻辑漏洞等,尤其是owasp top 10漏洞的原理、判别方法、利用手法、了解防火墙绕过方法,了解CDN技术、负载均衡技术、DNS技术、MVC框架、要了解主流服务器软件的特性漏洞、Linux、URL编码、常见加密解密技术、目录爆破、子域名爆破、后台爆破、ssl等等
4.各种的搜索引擎的使用技巧:
Google、FOFA、shodan、zoomeye等搜索引擎的使用技巧来进行资产的收集,在做前期的渗透信息收集的时候,是非常重要的。
5.在进行学习web渗透之前呢,需要简单了解一下下面语言
HTML5、css3、PHP ,这些语言对于了解web安全漏洞有很大的帮助的
6.要掌握基本的几种黑客工具的使用:
AWVS、appscan、nmap、burpsuite、sqlmap、xray、Metasploit、浏览器代理、各种语言的小马大马、蚁剑等工具的使用
7.对于一些网站的基础框架要有一定的了解:
TP、DZ、WP、织梦、帝国、structs、ecshop、等常见的网站框架要了解
8.Linux渗透进阶知识:
Linux下手动查杀木马过程-使用rootkit隐藏踪迹的审计方法,主要有模拟木马程序病原体并让木马程序自动运行的代码审计,木马父进程实时监控木马的原理及防御方法,创建一个让root用户都删除不了的木马程序的原理及防御方法,深入讲解如何不让木马程序和外网数据主动通信,使用rootkit把木马程序的父进程和木马文件隐藏的审计方法,使用rkhunter Rootkit猎手来检查rootkit,还有Linux下的手工提权原理-劫持账号和密码审计及防御方法-Tripwire检查文件。
9.还有无线安全和一些免杀shell技巧的技术
以上9个知识点给大家大概介绍了一下web安全渗透概念,下面给大家看一下我总结的比较全面的web渗透的思维导图,大家可以详细的看一下具体web渗透测试具体需要那些技术知识点。
700
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
