杂:Web安全,Where to begin?

最新推荐文章于 2023-11-05 11:11:13 发布
最新推荐文章于 2023-11-05 11:11:13 发布
阅读量245 收藏 2
点赞数 2
分类专栏:
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/102023306
版权

文章目录

写在前面

今天是2019.10.03
特意翻了下聊天记录
距离我终于决定放弃单片机转安全已接近三个月
在这里插入图片描述一开始的直觉果然是对的
至少我现在仍然觉得是对的

有点乱
不知道该写什么
暂且信马由缰
权当是对这三个月的一篇summary吧

七月初我的水平

两个字:很菜
从没有接触过Web
所有相关内容一窍不通
很迷茫
不知道从何下手

十月初我的水平

四个字:依然很菜
不过这个菜是知道了自己哪方面欠缺、应该学什么、怎样学的菜

三个月中我都做了些什么

  1. 一开始选择了实验吧作为靶场,但是对零基础的小白来说,里面的内容和天书一样,别说做题的思路了,连下面别人的评论都看不懂。
  2. 然后决定换个靶场
    攻防世界
    很感谢这个平台,基础题真的是给零基础小白的福利
    从查看源码、GET&POST、cookies到webshell,每一题我都在用心去做,涉及到的所有不懂的知识点、没见过的名词都会去百度,然后做笔记。
  3. 十二道题做完以后,我对各种Web语言、前后端的划分、HTTP和HTTPS、浏览器渲染的原理等等有了基本的认识,但是这些东西太零碎了,东一块西一块的。
  4. 然后就是配置和学Kali的各种工具,看着别人的博客照着一通敲,敲完了,结果也对了,但是几乎什么都没学到
  5. 最后终于决定搭一个服务器,自攻自防,我仍然认为这是最好的方式
    服务器运维:CentOS 7下搭建LAMP渗透环境
    此博客仍在更新中

现在写出来一看好像三个月也没有学太多东西,但至少比一开始的一脸懵好了很多

不立不破

说一下为什么选择自己搭服务器
自攻自防
道高一尺魔高一丈
既是道又是魔
合起来就高了一丈一
不立不破

怎么立

下面会讲需要学什么

为什么立

1.在立的过程中会对Web运行原理有更深的理解
纸上得来终觉浅
绝知此事要躬行

2.立好以后就知道正常用户是如何使用Web的了
在立的过程中
要时刻注意
哪个环节有可能会出问题进而导致被攻击

3.和靶场不同
你知道全部的源码
如果靶场的一道SQL注入题是服务器对空格作了过滤
那你做一百遍它也还是对空格作了过滤
但你自己的服务器可以改代码

怎么破

如果立的过程中注意到了
自然会去想怎么攻击这个点
比如你实现了一个查询的功能
在功能测试时就可以想到如果用户在查询时进行非法输入会导致什么后果
即使想不到也可以多在安全社区看看积累经验

为什么破

傻缺问题
为了吃饭

从何处开始

安利一个学习网站
菜鸟教程

《计算机网络》 推荐谢希仁第七版
HTTP和HTTPS详细理解
各类Web语言(HTML,JS,CSS,PHP等)的区别
前端后端的区别
浏览器工作原理
数据库原理和应用 推荐MySQL
虚拟机配置及使用 推荐VMWare
Apache和Tomcat的配置使用
Linux常用命令
HTML入门
PHP入门
JSP & Servlet
JS

看着不是很多,但真正想学精或者学到运用自如的地步还是需要一番功夫的
这些都差不多了的话搭服务器基本没问题了
然后说说Web安全

抓包工具 Win下Fiddler或Kali下Burp,推荐Burp
nmap
sqlmap
metasploit
...

其实有了上面搭服务器的基础后
然后需要做的就是学Kali的各种工具的用法
但和Script Kids不同的是
你知道这些工具背后的原理
甚至可以自己写脚本应对更多的实际场景
最后建议熟练掌握一门编程语言,推荐Python
没别的
Python牛逼!

2020.04 更新

又往底层研究了一下,期间投入到安全的时间少了很多,更偏重于基础了。
搞基础C语言肯定不可或缺,不过我现在没有太多时间捡C了。
最近在写一个基于机器学习的NIDS,需要研究SNORT的源码,有点体会到了底层的魅力

上面所说的内容稍稍修正一下,不仅要自己搭服务器,还要进行系统性的集中训练,比如
sqlilabs, dvwa等等等等,还是不太推崇靶场

考完之后估计会在底层投入的时间更多,主要是Linux内核,编译原理,算法等等,基础一定要扎实,这样才能走的更远。

无名J0kзr
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CIAA 网络安全模型 — 数据传输安全
烟云的计算
05-10 3227
后续,当 Server 向 Client 发送数据时,中间人故技重施的将数据劫持,用一开始劫持的 Public Key 进行解密后,对数据进行篡改,然后再使用非法的 Private Key 对数据进行加密发送给 Client,而 Client 也会使用非法的 Public Key 进行解密。CA 通常是可信任的第三方机构,能够对数据签名证书的真实性和有效性进行认证,全球性的 CA 机构有:Symantec、Comodo,GlobalSign,DigiCert,GeoTrust 等等。
解决javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException:PKIX路径构建失败错误?
热门推荐
asdfgh0077的博客
05-19 1万+
Edit :- Tried to format the question and accepted answer in more presentable way at mine Blog 编辑:-试
NewStarCTF 2023 公开赛道 Web
m0_73728268的博客
11-05 3253
泄露的秘密,直接看常见的目录robots.txt,www.zip直接那道两段flag也可以用dirsearch工具扫描,但是BUUOJ平台的网站只能开底线程,不然全是429。
[NewStarCTF 2023] web题解
rev1ve的博客
10-16 1万+
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。
[wp]NewStarCTF 2023 WEEK3|WEB
m0_63138919的博客
10-21 3358
本文为NewStarCTF 2023 WEEK3|WEB部分题解内容 只记录自己学习的过程,各位师傅可参考指出问题
[第七届蓝帽杯全国大学生网络安全技能大赛 蓝帽杯 2023]——Web方向部分题 详细Writeup
Leaf_initial的博客
08-27 4262
Web LovePHP 你真的熟悉PHP吗? 源码如下 <?php class Saferman{ public $check = True; public function __destruct(){ if($this->check === True){ file($_GET['secret']); } } public function __wakeup(){ $this->c
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 4947
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
2021极客大挑战web部分wp
bmth666的博客
11-26 5883
Dark 看到url:http://c6h35nlkeoew5vzcpsacsidbip2ezotsnj6sywn7znkdtrbsqkexa7yd.onion/ 发现后缀为.onion,为洋葱,下载后使用洋葱游览器访问 Welcome2021 查看源码发现 那么抓包使用WELCOME请求方式访问 访问f1111aaaggg9.php 得到flag babysql 简单的sql注入,直接使用sqlmap即可,也可以联合注入 1' union select 1,2,3,4# 发现注入点为1,2 直
如何在aws部署web网站_在AWS Part 2b上部署快速安全Web App:网站设置
weixin_26742939的博客
09-09 2335
如何在aws部署web网站We have been telling too many theoretical stories in Part 1a, 1b, and 2a of this series. It is time to get our hands dirty and start the action we have been teasing with for too long. Fro...
ModSecurity网站防火墙安装教程加WEB防御规则设置
云博客_资源宝分享
02-12 2079
ModSecurity网站防火墙安装教程加WEB防御规则设置
Begin to Code with Python
01-08
Begin to Code with Python is packed with innovations, including interactive sessions where you learn by speaking directly to the language itself, Cookie Cutter templates that give you a flying start,...
Amazon Web Services in Action(Manning,2015)
01-10
Amazon Web Services in Action introduces you to computing, storing, and networking in the AWS cloud. You'll start with a broad overview of AWS and learn how to spin-up servers manually and from the ...
[2018] Elm for Web Development.(Ajdin Imsirovic).[1788299051]
10-28
You will begin by seeing the bigger picture of where Elm fits into the web development world and learning the basics of Elm programming. Firstly, you will get a taste for web development with Elm by ...
Mining the social web
12-27
We’ll begin getting our hands dirty after just a few more pages of frontmatter. I’ll be forthright, however, and say upfront that one of the chief complaints you’re likely to have about this book ...
PDO:Uso de PDO
05-28
die("Could not connect to the database $dbname :" . $e->getMessage()); } ``` 这里使用了异常处理,当连接失败时,会捕获`PDOException`并显示错误信息。 **3. 查询方法** PDO提供了几种执行SQL查询的方法,...
2019年中国民航大学电子制作比赛---蓝牙音响.zip
08-03
大学生参加学科竞赛有着诸多好处,不仅有助于个人综合素质的提升,还能为未来职业发展奠定良好基础。以下是一些分析: 首先,学科竞赛是提高专业知识和技能水平的有效途径。通过参与竞赛,学生不仅能够深入学习相关专业知识,还能够接触到最新的科研成果和技术发展趋势。这有助于拓展学生的学科视野,使其对专业领域有更深刻的理解。在竞赛过程中,学生通常需要解决实际问题,这锻炼了他们独立思考和解决问题的能力。 其次,学科竞赛培养了学生的团队合作精神。许多竞赛项目需要团队协作来完成,这促使学生学会有效地与他人合作、协调分工。在团队合作中,学生们能够学到如何有效沟通、共同制定目标和分工合作,这对于日后进入职场具有重要意义。 此外,学科竞赛是提高学生综合能力的一种途径。竞赛项目通常会涉及到理论知识、实际操作和创新思维等多个方面,要求参赛者具备全面的素质。在竞赛过程中,学生不仅需要展现自己的专业知识,还需要具备创新意识和解决问题的能力。这种全面的综合能力培养对于未来从事各类职业都具有积极作用。 此外,学科竞赛可以为学生提供展示自我、树立信心的机会。通过比赛的舞台,学生有机会展现自己在专业领域的优势,得到他人的认可和赞誉。这对于培养学生的自信心和自我价值感非常重要,有助于他们更加积极主动地投入学习和未来的职业生涯。 最后,学科竞赛对于个人职业发展具有积极的助推作用。在竞赛中脱颖而出的学生通常能够引起企业、研究机构等用人单位的关注。获得竞赛奖项不仅可以作为个人履历的亮点,还可以为进入理想的工作岗位提供有力的支持。
22NM60N-VB TO220一款N-Channel沟道TO220的MOSFET晶体管参数介绍与应用说明
08-03
22NM60N-VB TO220;Package:TO220;Configuration:Single-N-Channel;VDS:650V;VGS:30(±V);Vth:3.5V;RDS(ON)=160mΩ@VGS=10V;ID:20A;Technology:SJ_Multi-EPI;
22N60L-VB一款N-Channel沟道TO247的MOSFET晶体管参数介绍与应用说明
08-03
22N60L-VB;Package:TO247;Configuration:Single-N-Channel;VDS:650V;VGS:30(±V);Vth:3.5V;RDS(ON)=160mΩ@VGS=10V;ID:20A;Technology:SJ_Multi-EPI;
GIS在地质灾害中的应用.pptx
最新发布
08-03
GIS在地质灾害中的应用.pptx
QString::arg: Argument missing: UPDATE test217 SET ????? = '25%' WHERE ??????='TP36';, 65181
03-22
= '25%' WHERE ??????='TP36';"中包含了两个占位符"?????"和"??????", 但是缺少了对应的参数。 为了正确使用QString::arg函数,你需要提供两个参数,分别对应两个占位符。例如,你可以这样使用: QString query =...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值