划水的小白白

！！！---多动手，只看只听是不行的---！！！ 从今天起，开始更新网安小白的成长路线，系统的理清思路 新的一年，全新开始。零，入坑须知： 1，防御是防不住的 ~做两手准备， ~防御 ~被攻破后怎么将损失降到最少 2，社会工程学的威力超乎想象

每日一句： 仰望星空的时候，不要忘记脚踏实地 本文内容： 1. web通信基础 2. 后端数据库正则 3. 信息收集 4. sql注入 5. XSS 6. CSRF 7. 文件上传 8. 验证码、密码找回漏洞 9. 越权漏洞 10. SSRF 11. 支付漏洞 12. XXE 13. 变量覆盖 14. 文件包含漏洞 15. 序列化 16. Bypass绕过[S...

每日一句： 仰望星空的时候，不要忘记脚踏实地 本文内容： 1. web通信基础 2. 后端数据库正则 3. 信息收集 4. sql注入 5. XSS 6. CSRF 7. 文件上传 8. 验证码、密码找回漏洞 9. 越权漏洞 10. SSRF 11. 支付漏洞 12. XXE 13. 变量覆盖 14. 文件包含漏洞 15. 序列化 16. Bypass绕过[SQL注入] 17. Bypas

本文内容： ~Waf检测机制与绕过 ~进阶知识 ~结束语每日一句： 每天进步一点点，持之以恒，终成大器 天行健，君子以自强不息！一、Waf检测机制与绕过 1，正常一句马 <?php eval($_REQUEST['a']);?> //这种有个Waf都会给干掉 //多说一下，参数为数字也是可以的 <?php eval($_...

本文内容： ~什么是bypass ~Waf检测机制 ~常见绕Waf手法 ~建议 每日一次： 一定要在合法的情况下进行渗透测试，不要越界！！！

本文内容： ~什么是序列化 ~魔术方法和反序列化利用 ~实战注意 每日一句： 希望大家学习了相关技术 多为我国的网络安全做贡献 不要做违法乱纪的事请！！！

本文内容： ~方向 ~信息收集 ~常见漏洞 ~小技巧 ~论坛 ~补充 建议（忠告）： 渗透的核心在于挖掘漏洞 黑客的核心才在于拿下网站（违法） 渗透测试是有尺度的，且行且珍惜

本文内容： ~认识MSF和永恒之蓝 ~MSF的基础命令 ~漏洞利用基本流程 ~实战漏洞利用额外说明： 这篇文章，仅仅作为扩展，大家了解一下MSF（美少妇）一、认识MSF和永恒之蓝1，定义 Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、 开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的 专业级漏洞攻击工具 ...

本文内容： ~什么是文件包含漏洞 ~函数解析 ~实战注意 每日一句： 只要是系统是人写的，代码就有可能存在漏洞

本文内容： ~什么是变量覆盖 ~函数解析 ~补充 每日一句： 今天开始，有了代码审计的影子。 这是成为大佬的必经路，大家尽量都要学会 CNVD证书和代码审计能力是安全方面找工作制高点

本文内容: ~什么是SSRF ~SSRF攻击 ~实战注意 每日一句：目前在我们的网络环境中，无论多少层代理，想要查你还是很简单 要想人不知，除非己莫为！！！

本文内容： ~什么是XXE ~XML结构 ~XXE原理 ~实战注意 每日一句： 脚本小子是走不远的，代码能力是成为大佬的必须 当然不一定要写出完整系统，但是一定要能看懂代码

本文内容： ~快捷支付原理 ~常见支付漏洞 ~支付漏洞如何挖掘 ~防御方法 每日一句： 想到就去做，多试总没坏处 注意尺度，且行且珍惜

本文内容： ~什么是越权 ~越权测试过程 ~常见越权漏洞 ~ 实战注意 每日一句： 越权漏洞很简单，而且很重要。希望大家把他掌握 特别是对于大厂商的src，很多，很常见

本文内容： ~验证码作用 ~验证码绕过的常见姿势 ~密码找回漏洞 ~实战注意 每日一句： 挖src --> 做白盒审计 --> 钻研技术 //进阶路线

每日一句： 渗透测试在于找到漏洞，而不在于扩大危害本文内容： ~实战注意 ~IIS6.0解析漏洞 ~CGI解析漏洞一、实战注意1，图片马的意义 ~绕过前端检测 ~绕过类型检测 （Content-Type） ~绕过文件头检测2，一句话木马根据脚本语言类型来 要根据不同条件制作， php：<?php @eval($_REQUEST['a...

每日一句： 没有绝对安全的机制 本文内容： ~%00截断和00截断 ~实战注意 ~条件竞争

本文内容： ~客户端检测 ~服务端检测 ~实战注意（主要黑名单）

本文内容： ~什么是CSRF ~CSRF实战注意 每日一句： 互联网本是安全的，自从有了研究安全的人，开始变得不安全了起来

本文内容： ~什么是DOM型XSS ~Dom型 XSS ~实战注意 一、什么是DOM型XSS 0，官方说法简直能把人绕晕，简单的说： Dom的核心就是操纵document，document的核心就是操纵浏览器 每个载入浏览器的HTML文档都会成为document对象，所以注意一件事： Dom型攻击与服务器基本没关系，document是一个...

本文内容： ~如何使用xss平台 ~存储型xss挖掘 ~存储型xss实战注意 每日一句： 安全的所有一切都是基于信任，而做安全的就是不信任一切， 对任何东西都不信任，任何地方都可能是你发挥的战场！

本文内容： ~XSS的原理与特性 ~反射型XSS及其实战注意

本文内容： ~注入函数解析 ~报错注入+联合查询（union all） ~实战注意

本文内容： ~MSSQL反弹注入使用场景 ~快速搭建一个MSSQL环境（骚姿势） ~MSSQL反弹注入语句解析 ~MSSQL实战注意

MySQL注入 —— DNS（log）注入每日一句： 实践出真知，渗透测试的精髓就是测试，不断的测试主要内容： ~DNSLOG实战注意 ~DNSLOG的使用场景 ~DNSLOG的函数解析一、DNSLOG的函数解析 1，一些知识 DNS（协议 域名 -> IP转换） 日志：基本上所有程序都会记录日志 DNS 他实际上也是有...

本文内容： ~偏移注入使用场景 ~偏移注入步骤 ~偏移注入实战注意

本文内容： ~Cookie注入简介 ~怎么修改Cookie ~Cookie注入实战注意 ~稍微总结注入

注入之宽字节注入主要任务： ~什么是GBK编码格式 ~提一下二阶注入原理 ~宽字节SQL注入原理

本文内容： 注入全方位之盲注 ~盲注介绍 ~盲注需要掌握的几个函数 ~延时注入（时间注入）做法 ~我的理解 每日一句： 谷歌和百度是我们最好的老师

本文内容： 注入全方位利用-POST注入HEAD注入 ~POST注入 ~HEAD注入一、POST注入：回忆： 1，注入攻击本质：将用户输入的不可信数据当作代码去执行 2，条件： ~用户能控制输入 ~原本程序要执行的代码，拼接了用户输入的内容，然后执行 3，本质： post注入是注入的一种，大家知道传参有POST与GET两种。...

本文内容： ~python、java的安装 ~sqlmap的安装 ~burpsuite的安装 ~渗透测试时，用的匿名邮箱、手机号 ~一款修改请求头的谷歌浏览器插件

本文要点： ~什么是注入 ~注入的条件 ~判断注入点 ~显错注入的基本流程 ~补充说明

信息搜集（补充说明）本文内容： 主要是回顾上节课，第四章是非常重要的课！ 子域名收集、目录扫描、端口扫描是挖掘src漏洞的核心 ~信息收集什么 ~信息收集方法回顾上节课一、信息收集什么： 1，whois 顶级域名谁注册的，还注册了哪些网站 大学网址一般由教育部统一注册， （正常来说whois查不到关于大学的信...

本文内容： ~为啥要信息收集 ~信息收集究竟收集什么 ~谷歌语法的介绍 ~善用空间搜索引擎 ~额外知识补充

接上！！！，有什么问题大家留言，私信即可 本文内容： ~php连接数据库 ~Php表单验证 ~正则表达式

多动手！多动手！编程能力很重要 不懂多百度、谷歌。独立思考，多交流一，后端基础SQL 1，常见数据库： Oracle Database：甲骨文公司 （下载免费，维护收费） SQL Server：微软 （收费） MySQL：开源 （免费） 2，数据库语法 ~create database aaa charset=utf8 #创建数据库 ~user...

一定要动手！动手！动手！一，学习编程的意思： 1， 黑盒测试：仅知道功能去找漏洞 白盒测试：给源码去找漏洞 2， <?php echo 'hello world'; ?> 3，建议学习 mysql与php二，web前端页面基础： 1，前端语言：html + css + js html:身体 前端框架 css：衣服 前端化妆师...