爲工做室萌新所做。記得之前剛學習安全時,醉心於技術,但倒是一直學習不得法,當時咱們那批人不懂計算機原理,不懂編程,只是粗淺理解一些網絡,加之安全也很難內容龐雜,不知到該學哪些,學完以後會有什麼效果,遇到了不少問題,就這麼在黑暗中摸索了大半年,最後纔有所得,到底浪費了太多時間。html
因此我不但願大家向咱們當初同樣,爲此我總結了一下,有了下面一篇文章,文章中涉及不少的重要的知識只粗略的點了一下,但就算是這樣也仍是有不少想寫的沒寫,有時間我會再發一片文章做爲補充。前端
基礎篇
(建議將基礎篇做爲工做室招新考試考綱範圍)python
html知識
http://www.w3school.com.cn/html/html_jianjie.asplinux
計算機網絡基礎知識
http://www.cnblogs.com/maybe2030/p/4781555.html#_label6web
http://blog.csdn.net/cws1214/article/details/8078629sql
http://blog.csdn.net/chuckfql/article/details/7477854數據庫
服務器知識
http://blog.csdn.net/dragonpeng2008/article/details/6642865編程
https://www.cnblogs.com/mysnowman/articles/5453926.html後端
https://blog.csdn.net/yuechuxuan/article/details/70176596安全
http基礎知識
http://www.cnblogs.com/TomSnail/p/6078395.html
進階篇
sql注入
命令執行
XSS
CSRF
越權
文件上傳
文件包含
文件下載
邏輯漏洞
接口漏洞
信息泄露
綜合利用
各大平臺爆出的版本漏洞
(代碼審計、漏洞分析、工具開發、防禦繞過,這些每一點內容都不少,且須要代碼功底)
高級篇
實戰!
在補天、漏洞盒子等漏洞平臺提交在實戰中獲取的漏洞。
在實戰中請時刻記得《網絡安全法》,不逾界。
番外篇
滲透環境
VMware
DVWA
Owasp
sqli-labs
Docker
工具
滲透系統:kali
滲透框架:metasploit
網絡掃描:nmap
端口掃描:nmap
代理:burpsuit
暴力破解:medusa、burpsuite
FUZZ:sqlmap、metasploit
網絡數據包分析:wireshark、burpsuite
爬蟲:burpsuit、awvs、zap
子域名探測:子域名挖掘機、brust3r
目錄掃描:御劍後臺掃描、dirbrust
指紋掃描:御劍指紋識別系統、AppPrint
綜合掃描器:zap、awvs、appscan、burpsuit、nmap、nessus
建議
滲透測試人員要儘量多的找到一個系統的漏洞,而真正想對漏洞知其因此然,必須學習編程技術。雖然說在滲透測試時沒有代碼功底也能出色的完成任務,但代碼功底是菜鳥和大牛一個明顯分水嶺。
作web安全,我推薦的語言是以下搭配從前端到後端到數據庫加上經常使用的腳本語言:
HTML + JavaScript + PHP + SQL和Python
網上的資料:http://www.w3school.com.cn/
建議有精力的去學習一下C語言和彙編 瞭解底層
我推薦閱讀的書籍:
《代碼審計》
《圖解http》
《TCP/IP指南》
《python核心編程》
《wab安全深度剖析》
《白帽子講web安全》
《namp滲透測試指南》
《鳥哥的linux私房菜》
《黑客攻防技術寶典web實戰篇》
《sql注入與防護》
《xss跨站腳本攻擊剖析與防護》
《python黑帽子》《python絕技》
《web滲透技術及實戰案例解析》
破曉16級王宗樹