零基础到精通Web渗透测试的学习路线

最新推荐文章于 2024-03-14 17:18:58 发布
最新推荐文章于 2024-03-14 17:18:58 发布
阅读量144 收藏
点赞数
文章标签: 前端 学习 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youshowkm/article/details/130295425
版权

Web安全相关概念

熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。

1.通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;

2.阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;

3.看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);

熟悉渗透相关工具

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。

1.了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;

2.下载无后门版的这些软件进行安装;

3.学习并进行使用,具体教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;

渗透实战操作

掌握渗透的整个阶段并能够独立渗透小型站点。

1.网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等);

2.自己找站点/搭建测试环境进行测试,记住请隐藏好你自己;

3.思考渗透主要分为几个阶段,每个阶段需要做那些工作,例如这个:PTES渗透测试执行标准;

4.研究SQL注入的种类、注入原理、手动注入技巧;

5.研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架;

6.研究XSS形成的原理和种类,具体学习方法可以Google/SecWiki,可以参考:XSS;

7.研究Windows/Linux提权的方法和具体使用,可以参考:提权;

关注安全圈动态

关注安全圈的最新漏洞、安全事件与技术文章。

1.通过SecWiki浏览每日的安全技术文章/事件;

2.通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下;

3.通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累),没有订阅源的可以看一下SecWiki的聚合栏目;

4.养成习惯,每天主动提交安全技术文章链接到SecWiki进行积淀;

5.多关注下最新漏洞列表,推荐几个:exploit-db、CVE中文库、Wooyun等,遇到公开的漏洞都去实践下。

6.关注国内国际上的安全会议的议题或者录像,推荐SecWiki-Conference。

熟悉Windows/Kali Linux

学习Windows/Kali Linux基本命令、常用工具;

1.熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等;

2.熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;

3.熟悉Kali Linux系统下的常用工具,可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;

4.熟悉metasploit工具,可以参考SecWiki、《Metasploit渗透测试指南》。

服务器安全配置

学习服务器环境配置,并能通过思考发现配置存在的安全问题。

1.Windows2003/2008环境下的IIS配置,特别注意配置安全和运行权限,可以参考:SecWiki-配置;

2.Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等,可以参考:SecWiki-配置;

3.远程系统加固,限制用户名和口令登陆,通过iptables限制端口;

4.配置软件Waf加强系统安全,在服务器配置mod_security等系统,参见SecWiki-ModSecurity;

5.通过Nessus软件对配置环境进行安全检测,发现未知安全威胁。

脚本编程学习

选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习

1.搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推Sublime,一些Sublime的技巧:SecWiki-Sublime;

2.Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》,不要看完;

3.用Python编写漏洞的exp,然后写一个简单的网络爬虫,可参见SecWiki-爬虫、视频;

4.PHP基本语法学习并书写一个简单的博客系统,参见《PHP与MySQL程序设计(第4版)》、视频;

5.熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选);

6.了解Bootstrap的布局或者CSS,可以参考:SecWiki-Bootstrap;

源码审计与漏洞分析

能独立分析脚本源码程序并发现安全问题。

1.熟悉源码审计的动态和静态方法,并知道如何去分析程序,参见SecWiki-审计;

2.从Wooyun漏洞库上寻找开源程序的漏洞进行分析并试着自己分析;

3.了解Web漏洞的形成原因,然后通过关键字进行查找分析,参见SecWiki-代码审计、高级PHP应用程序漏洞审核技术;

4.研究Web漏洞形成原理和如何从源码层面避免该类漏洞,并整理成checklist。

安全体系设计与开发

能建立自己的安全体系,并能提出一些安全建议或者系统架构。

1.开发一些实用的安全小工具并开源,体现个人实力;

2.建立自己的安全体系,对公司安全有自己的一些认识和见解;

3.提出或者加入大型安全系统的架构或者开发

这里整理了网络安全学习路线分享给大家学习
在这里插入图片描述

中国红客99代传人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透学习路线
weixin_39205521的博客
03-24 1056
前言 首先,你要高度热爱网络安全这个领域,你要问问自己是否是真的热爱这个行业,自己是否会因为各种了理由半途而废,放弃掉你的热爱。衡量热爱的方法特别特别地简单:看看自己主动花了多少时间在哪些事情方面,重点:『主动 + 时间』。两个条件都不能满足的,请自行将自己PASS掉,别浪费时间。其次渗透行业最注重的就是实战能力,并且知识更新较快,例如一个厂商更新了补丁就要去跟进,去掌握可能成为薄弱的渗透测试点,利用Nday作为突破。这也导致了你要有时间去搜集去跟进,各大网络软件厂商的更新内容。 渗透测试的技能点多的数不过
Web渗透测试学习路线
ploto_cs的博客
02-09 3777
全文转载于 知乎—作者:向生李—《Web渗透测试学习路线图》 文章源地址:https://www.zhihu.com/question/21914899/answer/39344435 1. Web安全相关概念 熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等) 通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki; 阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的 看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透.
web渗透测试学习路线
m0_52051132的博客
03-26 2万+
web渗透学习路线 文章目录*web渗透学习路线*前言一、web渗透测试是什么?二、web渗透步骤1.前期工作2.中期提高后期打牢总结 前言 本文整理的学习路线,清晰明了,重点分明,能快速上手实践,相信想学的同学们都能轻松学完。都是干货啦,先收藏⭐再看吧。本文偏基础能让萌新们快速摸到渗透测试的门道,少走弯路,也能让正在学习的小伙伴们查漏补缺,也欢迎大佬们在评论区指正错误~ 这里附上我之前学习路线图 提示:以下是本篇文章正文内容,下面案例可供参考 一、web渗透测试是什么? Web渗透测试分为白盒测
Web渗透学习路线 —— Web核心基础
羽路星尘的博客
10-24 449
Web渗透学习系列之Web核心基础知识,持续更新中……
【安全测试工程师】超实用的Web渗透测试学习路线
weixin_44433834的博客
08-02 3179
前言 本文整理的学习路线,清晰明了,重点分明,能快速上手实践,相信想学的同学们都能轻松学完。都是干货啦,先收藏⭐再看吧。本文偏基础能让萌新们快速摸到***测试的门道,少走弯路,也能让正在学习的小伙伴们查漏补缺,也欢迎大佬们在评论区指正错误~ 先上脑图 其实安全测试需要的知识面是非常广的,但跟着教程有重点地学习还是能很快理清思路上手测试的,后续可以自己深入研究,吃透这些领域的知识。 首先我们要了解什么是***测试。 我们知道业务功能、逻辑的测试有黑盒测试和白盒测试,前者把程序看作一个不能打开的黑盒子,在完
使用Burpsuite精通Web渗透测试-英文版 非常好
05-20
使用Burpsuite精通Web渗透测试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute ...
WEB安全入门基础.pptx
08-24
WEB 安全入门基础主要包括 WEB 安全的基本概念、WEB 安全入门基础知识点、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 HTTP 协议 HTTP 协议是 WEB 安全的基础协议,了解 HTTP 协议是 WEB ...
WEB渗透入门资料,对新手比较有用。
04-16
总之,Web渗透测试是一门涉及广泛知识和技术的学科,需要不断学习和实践才能精通。这个资料包提供了一个良好的起点,通过深入理解和掌握其中的知识点,你将能够在网络安全的道路上迈出坚实的步伐。
web-hacking-101
04-25
通过学习,你可以提升自己的Web安全技能,无论是为了保护自己的网站,还是为了从事安全咨询、渗透测试等工作,都将受益匪浅。尽管这是一门技术性强的课程,但其易懂的风格使得即使是对编程和技术不太熟悉的读者也能...
30天打造专业红客
12-18
【描述】在"30天打造专业红客"的训练计划中,你将逐步学习到网络安全的各个方面,包括但不限于网络基础、操作系统原理、编程语言、漏洞挖掘与利用、渗透测试、安全防御策略等。这是一段旅程,你将从一个网络安全的...
Python开发工程师职业发展方向共2页.pdf.zip
10-30
网络安全专家利用Python进行渗透测试、漏洞分析和安全防护系统的开发。 Python开发工程师也可以涉足游戏开发,使用Pygame等库创建2D游戏,或者结合Unity等引擎进行跨平台游戏开发。 最后,云计算领域为Python...
AttackAPI使用方法教程.zip_zip和rar区别
01-07
AttackAPI是一个基于JavaScript的攻击框架,它为网络安全分析和渗透测试提供了一系列的工具和功能。在本教程中,我们将深入探讨AttackAPI的使用方法,并对比zip与rar两种常见压缩格式的区别。 首先,让我们从Attack...
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
它是一个集成的平台,包含了多种功能模块,如拦截HTTP代理、扫描器、入侵检测系统等,用于帮助安全专家进行渗透测试和应用程序安全评估。本教程将针对初学者,详细讲解如何使用Burpsuite来拦截浏览器请求,修改请求...
MasterCiberseguridad:西伯斯古里达大师图书馆
04-02
5. **自动化渗透测试**:Python可以构建自动化脚本执行渗透测试任务,如`selenium`库用于模拟用户行为,`requests`库用于HTTP请求。 6. **恶意软件分析**:Python可以用于创建沙箱环境,分析可疑文件的行为,如`...
学完渗透赌博网站,从零基础到实战的Web渗透学习路线+手册
MachineGunJoe666
12-10 3142
前言 大家好 我是周杰伦! 大家都知道IT是一个非常复杂和混沌的领域,充斥着各种已经半死不活的过时技术和数量更多的新系统、新软件和新协议。保护现在的企业网络不能仅仅依靠补丁管理、防火墙和用户培训,而更需要周期性地对网络中的安全防御机制进行真实环境下的验证与评估,以确定哪些是有效的哪些是缺失的,而这就是渗透测试所要完成的目标。 渗透测试是一- 项非常具有挑战性的工作。你拿着客户付的钱,却像犯罪者那样去思考,使用你所掌握的各种“游击”战术,在一个高度复杂的防御网络中找出最为薄弱的环节,来实施致命一击。在渗透测试
基础精通Web渗透测试学习路线
WANGJUNAIJIAO的博客
06-06 232
学习内容(前两个为后台暴力破解服务)1.拦截(拦截浏览器发送来的数据包)2.抓包(抓到拦截过来的数据包)3.改包(修改数据包里面的参数和内容)4.重放(把修改好的数据包再发送给服务器)注意:因为burpsuite是使用java开发的,所以使用时候要先安装JDK(版本最好在1.8以上)打开本机的命令行窗口,输入 java -version,查看自己的jdk版本。图示burpsuite官方下载地址。
Web安全渗透详细教程+学习线路+详细笔记【全网最全】
热门推荐
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
04-19 3万+
欢迎关注微信公众号:hacklex 让安全技术不再神秘,让编程更加有趣~~~ 1. 序章 1.1. Web技术演化 1.2. 网络攻防技术演化 1.3. 网络安全观 2. 计算机网络与协议 2.1. 网络基础 2.2. UDP协议 2.3. TCP协议 2.4. DHCP协议 2.5. 路由算法 2.6. 域名系统 2.7. HTTP协议簇 2.8. 邮件协议族 2.9. SSL/TLS 2.10. IPsec 2.11. Wi-Fi ...
【全网最全】Web安全渗透详细教程2024年最新版+学习线路+资料分享
最新发布
2301_77472496的博客
03-14 1194
Web安全领域。是否具备编程能力是“脚本小子”和真正Web安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
自己总结的c语言的学习路线和方法以及相关知识点
11-29
"C语言学习路线和方法,包括基础知识、具体结构、主函数、规范、注释和标识符,以及变量和赋值的概念" C语言作为编程的基础,因其高效和广泛的适用性,对于初学者和专业开发者都至关重要。学习C语言首先要理解其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值