哈哈,从今天开始正式通过博客的形式来记录我的安全渗透学习之旅的全过程
第一天学习内容如下,当然只是粗略的学习,下面两个连接中的内容还得好好研究一下,先建立一个学习的框架
渗透测试是什么?
⽐如电视剧《我是特种兵》⾥⾯的演习,特种部队(进攻⽅)渗透到蓝军(防守⽅)的指挥部进⾏斩
⾸,如果斩⾸成功,那么就可以知道蓝⽅的防守能⼒不够好,需要改进,反之就是特种部队的特种作战能⼒不⾜,
需要提升。那么渗透测试⼯程师就相当于特种部队⾥⾯的特战队员,我们需要对我们的⽬标做⼀次渗透,以测试⽬
标的防护能⼒。渗透测试⼯程师就相当于⽭,⽬标就相当于盾
学习渗透测试的具体⽅法是什么?
- 关注⼀些安全站点:这样可以了解最新的东西,提⾼对安全的亲切度,这样你不惧怕它,才能靠近它,占有它。
www.bugbank.cn
www.freebuf.com
www.anquanke.com
xianzhi.aliyun.com/forum
www.52stu.org- 找⼏部⾼质量的视频教程,坚持学完,并做好每个视频的笔记。 我以前学习是别⼈每讲完⼀个知识点我就把视频暂停,
然后把笔记做好再继续看的,甚⾄把视频⾥⾯的代码抄下来,⾃⼰读再⼀遍那个代码(虽然读不懂,但是混个脸熟也挺
好)。- 制定⼀个⼩阶段的学习计划及⽬标。
- 建⽴⼀个⾃⼰的博客,把⾃⼰的所学、⾃⼰的笔记记录下来。这个很重要,因为这样你可以以⼀个第三者的视⾓看待⾃
⼰的东西,就会找出不⾜,你就可以改进。- 每天看⼏篇漏洞⽂章,以增加⾃⼰的漏洞只是储备量。http://wooyun.2xss.cc/
- 每天遇到新的问题,我们不妨⽤笔记录下来,⼀个⼀个的解决,不要着急,古⼈云:欲速则不达,慢慢的,你的只是储
备量就会多起来的。- 买两本纸质书籍当作理论⽀撑,因为视频⾥⾯讲的理论没有以⽂字呈现,⼤家理解起来也是有困难的。这⾥推荐⼏本:
⼊门级别的《Web安全渗透剖析》,进阶级别的《⽩帽⼦讲web安全》、《⽹络攻防实战研究:漏洞利⽤与提权》。- 找⼀些跟⾃⼰志同道合的朋友⼀起学习。⽐如加⼀些讨论氛围好的QQ群,⼀些⼩密圈,⼀些论坛。那些论坛搞得花⾥胡
哨的就肯定不是静⼼钻研技术的。这⾥我稍微推荐⼀下我们论坛 www.52stu.org ,*要⽤电脑浏览器才能访问哦!*我们
论坛是坚决抵制花⾥胡哨的,⼀看到就直接删掉。
渗透要不要学编程?
相信⼈都会有这个疑虑,那么作为职业的渗透测试的我,可以跟⼤家说⼀下我的看法。学习渗透测试之前要明⽩渗透测试这个领域包含什么东西,渗透测试是集合计算机各领域的知识于⼀体衍⽣出来的计算机新领域。
从上图就可以清晰的看到,渗透测试会涉及包括但不限于数据库的知识、⽹络技术的知识、操作系统的知识、编程的知识。所以你觉得你要不要学习编程呢?
计算机各领域的知识⽔平决定你渗透⽔平的上限 ⽐如你编程⽔平⾼,那你在代码审计的时候就会⽐别⼈强,写出的漏洞利⽤⼯具就会⽐别⼈的好⽤;⽐如你数据库知识⽔平⾼,那你在进⾏SQL注⼊攻击的时候,你就可以写出更多更好的SQL注⼊语句,能绕过别⼈绕不过的WAF;⽐如你⽹络⽔平⾼,那你在内⽹渗透的时候就可以⽐别⼈更容易了解⽬标的⽹络架构,拿到⼀张⽹络拓扑就能⾃⼰在哪个部位,拿到以⼀个路由器的配置⽂件,就知道⼈家做了哪些路由;再⽐如你操作系统玩的好,你提权就更加强,你的信息收集效率就会更加⾼,你就可以⾼效筛选出想要得到的信息。
渗透测试的思维是怎么样的?
我们所谓的猥琐的思维就是渗透要的思维,也就是⼤家常说的⿁点⼦多,⿁主意多。这意味着我们要从不同⾓度去思
考同⼀件事情,但我们在渗透的时候要始终贯彻⼀个⽅针:换位思考。⽐如管理员会怎么设置⽹站,管理员会怎么设置
密码,管理员会… …
渗透就跟泡妹纸⼀样样的,认识妹纸–了解妹纸(信息收集)–逗妹纸开⼼(扫描)-- 得到妹纸的肯定之后就开始寻
找时机表⽩(漏洞利⽤) – 表⽩失败(漏洞被修补或有WAF)要么死缠烂打要么就Next one,要么就⽤其他的⽅法来
搞定妹纸(有WAF就是⼼存芥蒂,我们就要得到真⼼,就是要⽤真情感化),⽐如搞定她姐妹,帮她搞定她的难题,要
浪漫~!
渗透⼯具和测试实战的问题
你 不要怕有后门 ,因为都是要放在虚拟机⾥⾯运⾏的,只要还原⼀下VM的快照就完事了。⽽且随着学习的深⼊,你就会发现,其实平常⽤的⼯具就⼏个:Burp suite、AWVS、App scan、SQLmap、浏览器。⾄于其他的扫描器的话,很多都是脚本语⾔来写的,⽐如Python,只要是个正常⼈都不会往Python脚本⾥⾯加⼊后门。亦或者是Java。这些东西在官⽹下载,或者⼀些可信度⾼的⽹站下载就可以了,就⽐如上⾯的⽹址提供的下载。
⽹络安全法规愈发完善,我们不⼩⼼可能就做了违法乱纪的事情,所以⼤家切勿瞎搞!
工作的类型和方向
安全⽅⾯的也有很多个⽅向的,⽐如有渗透、安服、审计,这个就要看你 往哪个⽅向⾛
扫一扫
3870
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
