web安全之路

爲工做室萌新所做。記得之前剛學習安全時，醉心於技術，但倒是一直學習不得法，當時咱們那批人不懂計算機原理，不懂編程，只是粗淺理解一些網絡，加之安全也很難內容龐雜，不知到該學哪些，學完以後會有什麼效果，遇到了不少問題，就這麼在黑暗中摸索了大半年，最後纔有所得，到底浪費了太多時間。

因此我不但願大家向咱們當初同樣，爲此我總結了一下，有了下面一篇文章，文章中涉及不少的重要的知識只粗略的點了一下，但就算是這樣也仍是有不少想寫的沒寫，有時間我會再發一片文章做爲補充。

基礎篇

（建議將基礎篇做爲工做室招新考試考綱範圍）

html知識

http://www.w3school.com.cn/html/html_jianjie.asp

計算機網絡基礎知識

http://www.cnblogs.com/maybe2030/p/4781555.html#_label6

http://blog.csdn.net/cws1214/article/details/8078629

http://blog.csdn.net/chuckfql/article/details/7477854

服務器知識

http://blog.csdn.net/dragonpeng2008/article/details/6642865

https://www.cnblogs.com/mysnowman/articles/5453926.html

https://blog.csdn.net/yuechuxuan/article/details/70176596

http基礎知識

http://www.cnblogs.com/TomSnail/p/6078395.html

進階篇

sql注入

命令執行

XSS

CSRF

越權

文件上傳

文件包含

文件下載

邏輯漏洞

接口漏洞

信息泄露

綜合利用

各大平臺爆出的版本漏洞

（代碼審計、漏洞分析、工具開發、防禦繞過，這些每一點內容都不少，且須要代碼功底）

高級篇

實戰！

在補天、漏洞盒子等漏洞平臺提交在實戰中獲取的漏洞。

在實戰中請時刻記得《網絡安全法》，不逾界。

番外篇

滲透環境

VMware

DVWA

Owasp

sqli-labs

Docker

工具

滲透系統：kali

滲透框架：metasploit

網絡掃描：nmap

端口掃描：nmap

代理：burpsuit

暴力破解：medusa、burpsuite

FUZZ:sqlmap、metasploit

網絡數據包分析：wireshark、burpsuite

爬蟲：burpsuit、awvs、zap

子域名探測：子域名挖掘機、brust3r

目錄掃描：御劍後臺掃描、dirbrust

指紋掃描：御劍指紋識別系統、AppPrint

綜合掃描器：zap、awvs、appscan、burpsuit、nmap、nessus

建議

滲透測試人員要儘量多的找到一個系統的漏洞，而真正想對漏洞知其因此然，必須學習編程技術。雖然說在滲透測試時沒有代碼功底也能出色的完成任務，但代碼功底是菜鳥和大牛一個明顯分水嶺。

作web安全，我推薦的語言是以下搭配從前端到後端到數據庫加上經常使用的腳本語言：

HTML + JavaScript + PHP + SQL和Python

網上的資料：http://www.w3school.com.cn/

建議有精力的去學習一下C語言和彙編 瞭解底層

 

我推薦閱讀的書籍：

《代碼審計》

《圖解http》

《TCP/IP指南》

《python核心編程》

《wab安全深度剖析》

《白帽子講web安全》

《namp滲透測試指南》

《鳥哥的linux私房菜》

《黑客攻防技術寶典web實戰篇》

《sql注入與防護》

《xss跨站腳本攻擊剖析與防護》

《python黑帽子》《python絕技》

《web滲透技術及實戰案例解析》

破曉16級王宗樹