写点什么

福利时刻 十年黑客大佬的 Web 安全渗透技术分享

用户头像
学神来啦
关注
发布于: 2021 年 06 月 09 日
福利时刻  十年黑客大佬的Web安全渗透技术分享


作为拥有着 10 年经验的渗透安全测试工程师,一路也是从小白历经磨难成长起来的我,给现在的新手小白一些建议。渗透安全的范围其实要学习的东西很广泛的,比如系统安全、移动安全、无线安全、web 安全等很多方向。

 

作为小白呢,这里建议大家可以从 web 安全入手,web 安全领域相对来说比较好入门,对于小白来说呢,入门是相对来说友好一些的。我刚开始的时候也是从 web 安全开始入手的,web 安全的知识有哪些呢,我给大家简单的梳理一下知识轮廓。

Web 安全基础要学习那些知识呢?

01 对于系统的操作

 

比如 window 系统、linux 系统、还有黑客最火的 kali 系统

 

02 数据库的学习

针对于 web 漏洞中的 SQL

例如:MySQL 数据库的基本操作


03 进行 web 安全渗透

一定要了解 web 漏洞的原理,web 常见的漏洞有 SQL 注入、xss 漏洞、csrf、ssrf、文件上传、任意文件下载、弱口令、逻辑漏洞等,尤其是 owasp top 10 漏洞的原理、判别方法、利用手法、了解防火墙绕过方法,了解 CDN 技术、负载均衡技术、DNS 技术、MVC 框架、要了解主流服务器软件的特性漏洞、Linux、URL 编码、常见加密解密技术、目录爆破、子域名爆破、后台爆破、ssl 等等


04 各种的搜索引擎的使用技巧:

Google、FOFA、shodan、zoomeye 等搜索引擎的使用技巧来进行资产的收集,在做前期的渗透信息收集的时候,是非常重要的。

05 HTML5、css3、PHP 

在进行学习 web 渗透之前呢,需要简单了解一下语言 HTML5、css3、PHP,这些语言对于了解 web 安全漏洞有很大的帮助的。

06 要掌握基本的几种黑客工具的使用:

AWVS、appscan、nmap、burpsuite、sqlmap、xray、Metasploit、浏览器代理、各种语言的小马大马、蚁剑等工具的使用


07 对于一些网站的基础框架要有一定的了解:

TP、DZ、WP、织梦、帝国、structs、ecshop、等常见的网站框架要了解



08 Linux 渗透进阶知识:

Linux 下手动查杀木马过程-使用 rootkit 隐藏踪迹的审计方法,主要有模拟木马程序病原体并让木马程序自动运行的代码审计,木马父进程实时监控木马的原理及防御方法,创建一个让 root 用户都删除不了的木马程序的原理及防御方法,深入讲解如何不让木马程序和外网数据主动通信,使用 rootkit 把木马程序的父进程和木马文件隐藏的审计方法,使用 rkhunter Rootkit 猎手来检查 rootkit,还有 Linux 下的手工提权原理-劫持账号和密码审计及防御方法-Tripwire 检查文件。

09 还有无线安全和一些免杀 shell 技巧的技术

以上 9 个知识点给大家大概介绍了一下 web 安全渗透概念,下面给大家看一下我总结的比较全面的 web 渗透的思维导图,大家可以详细的看一下具体 web 渗透测试具体需要那些技术知识点。



以上的 web 渗透安全相关的知识点,给大家介绍了一下如何去学习那些知识,这个世界充满了待解决的迷人问题,做一个黑客有很多乐趣,但是需要颇费气力才能获得这些乐趣。这些动力需要动机。卓越的运动员从强健体魄、挑战自我身体极限中汲取动力。类似的,作为黑客,你必须从解决问题、磨练技术、锻炼智力中获得基本的快感。希望各位从事渗透安全的小白们,早日进阶黑客大佬。

上面的资料无偿分享!

分享给各位正在学习的小伙伴们!

希望你们在 kali 的路上砥砺前行!

扫描二维码即可领取!


用户头像

学神来啦

关注

还未添加个人签名 2021.06.02 加入

10年Linux使用及管理经验,7年IT在线教育培训经验。精通Linux、Python、思科、C++、安全渗透等技术。曾任职国内知名互联网公司高级运维架构师、运维总监。对基于Linux下开源程序Openstack、Docker、K8S、DevOps、

评论

发布
暂无评论
福利时刻  十年黑客大佬的Web安全渗透技术分享