赞
踩
我知道很多人肯定觉得,报班什么的太贵了,但是人家贵有贵的道理
owap讲来讲去,还是那个样,但是有人给你解答问题是两个概念,有时候一个虚拟机都能卡死你很久,我就随便说说,我给你们想的学习路线把,然后其他的大家参考学习
一、建站:(当过站长,才知道怎么攻击)
1.初步学习Html5
HTML初步了解、HTML规范、HTML结构、font_body标签、文本修饰、editplus设置、排版标记、符号和编号、bgsound、HTML颜色、meta、IMG、路径介绍、布局、radio、Fiedset、form与服务器、map、frameset、frame_nime、
模板、CSS初步认识、基本选择器、组合选择器、CSS单位与字体、边框讲解
2.PHP讲解
介绍http协议+挖局BUG、搭建APache+PHP+MYSQL、域名及解析讲解、PHP变量+变量引用、数据类型+字符串函数+常量+运算符+if判断+switch+shile、For循环、函数讲解、Return+引用函数、数组、Get跟Post请求、三元运算符、mysql数据库文件类型、文件包含、Mysql所有操作、php操作数据库、数各种数据库兼容环境等等…
二、Web安全(了解攻击者思路拿各种漏洞提升思路)
1.SQL注入
SQL注入原理、联合注入、注入类型、别名提升权限、读取文件、html锚点、Mysql布尔注入、延时注入、
别名讲解、MYSQL-BUG注入、MYSQL函数报错、修复SQL注入、判断网站是否存在注入、
宽字节注入、多语句注入、Values注入、Delete注入、UPdate型注入、注入常用函数、防火墙、其它数据库注入。
2.XSS漏洞
XSS原理、ajax、储存型XSS、反射型XSS、dom-xss、X-XSS-Protection、CRLF+XSS、XSS修复、闭合XSS
3.Csrf-XSS蠕虫-SSrf-XXE 了解CSRF-CSRF攻击、Csrf漏洞修复、XSS蠕虫、XXE原理、XXE修复
4.文件上传 空字节的理解、上传流程、JS验证、截断上传、黑名单验证上传、二次上传、上传分析、MiMe类型绕过、解析漏洞、双文件上传、上传已知漏洞
5.Webshell PHP、asp、aspx一句话、大马、小马、后门、查杀
6.Mysql注入进阶-DNS查询 DNS的理解、Sql注入的利用、搭建测试环境、其它数据库注入、修复
7.读取及代码执行命令 文件包包含修复、文件读取、利用文件包含漏洞拿到权限、理解序列化、反序列化漏洞、Exp-Poc-Payload讲解
8.逻辑漏洞 逻辑漏洞原理、挖掘密码重置漏洞、验证码漏洞、未授权漏洞、越权
9.信息泄露 了解什么是信息泄露、Google用法、网站路径、判断网站CMS、Robots.txt讲解、各种找信息、预付信息泄露总结
三、工具介绍
Burp、Msf、APPScan、WVS、Sqlmap、Nmap、Nessus、Hydra…
熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。
1.了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;
2.下载无后门版的这些软件进行安装;
3.学习并进行使用,具体教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;
四、中间人攻击与抓包
Arp原理、Wireshark、Bettercap介绍、嗅探、脚本、DNS劫持与预防、cain+NetFuke使用
五、正反向代理与端口转发
原理讲解、正反向代理搭建、windows_nc反弹、inux_nc安装与反弹。LCX
六、权限提升
服务器安全配置、Windows、Linux提权讲解
七、一定一定要实践进行到底
不要看着就觉得自己会了,实际上你照着去做,都有可能出现奇奇怪怪的问题,只有去试了菜知道
通过第一个迭代,我们可以利用工具完成一些简单的渗透测试任务了。有些工具的高级用法可能被你跳过去了,这个时候可以回头看看了。
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。需要的评论区扣1 网络安全渗透资料领取
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。