设为首页 收藏本站

运维网

查看: 98|回复: 0

[新闻资讯] 小猿圈解析Web安全学习路线

[复制链接]

累计签到:3 天
连续签到:3 天
发表于 2019-7-11 18:32:37 | 显示全部楼层 |阅读模式
最近出了web前端很火爆之外、web安全也是热门话题之一,但是很多人都不知道怎么学习或者从哪里开始学起,今天小猿圈web安全讲师就为你讲解Web安全学习路线。



学习基础 时间:1周 ~ 2周:
① 我们用这段时间了解基本的概念:(SQL注入、XSS、上传、CSRF、一句话木马、常见的后台等:可以通过Google搜索获取资料)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透资料,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、APPSCAN、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上,并做一个工具包,推荐Rolan。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Secwiki或者Google上查找资料。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
经常逛网络安全有关的网站 时间:∞
① 例如:Freebuf、i春秋、安全客、看雪、91Ri.org、Sec-wiki、安全脉搏、Sec圈子社区、T00ls论坛等。
② 遇到有意义的文章可以转载到自己博客
熟悉Windows & Kali Linux 系统 时间:2周 ~ 4周
①了解Windows系统下的常用命令,如:ipconfig,nslookup,tracert,net,tasklist,taskkill等。
② 熟悉Linux系统的常用命令,如:wget、mv、cd、rm、mkdir等。
③ 熟悉Kali Linux系统下的常用工具。
学习服务器的安全配置 时间:4周左右
① 了解03、08、12系统下iis的基本配置,了解Win下的目录权限(例如iis写权限),建立一个简单的站点。
② 了解Linux的运行权限、跨目录、文件夹权限,学会配置Linux Web服务器,并建立一个简单的站点。
③ 使用自动化工具扫描已经建立好的站点,并利用Google学会修补漏洞。
④ 学会打补丁、iptables限制端口、添加规则等。
⑤ 下载一款waf软件,熟悉它的使用。
学习一些编程知识 时间:约8周
① 在w3cschool上学习html、php、数据库的基础,建议每一种学到第8节就可以了。
② 学习Python(也可以是其他语言,但是强烈建议使用python)。要求学习:爬虫(基础)、多线程、文件操作、正则表达式(基础)还有一些常用的第三方库,可能需要安装pip。
③ 利用python写一个简单的poc或者exp。
④ 开发一些渗透时会用到的程序,例如:端口扫描等。
⑤ 选择一个php框架进行学习,不要太深入。
学习代码审计 时间:4周 ~ 6周
① 了解代码审计的静态和动态方法,懂得分析程序。
② 在乌云镜像里找到开源的漏洞程序,跟着学习分析方法,尝试自己分析3~5次代码。
③ 了解web漏洞形成的原因,熟悉常见漏洞函数。
安全体系开发 时间:∞
① 开发一些安全工具,并将其开源,可以托管到码云或者github上,展示个人实力。
② 建立自己的一套安全体系,拥有独立的思路方法。
以上就是小猿圈web安全讲师给大家分享的Web安全学习路线图,希望对小伙伴们有所帮助,想要了解更多内容的小伙伴可以到小猿圈直接观看,想要学好web安全的小伙伴快快行动吧。


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.iyunv.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.iyunv.com/thread-939530-1-1.html 上篇帖子: 小猿圈Web安全初学者指南 下篇帖子: 小猿圈Web安全之Java应用
点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则  允许回帖邮件提醒楼主

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:kefu@iyunv.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2020

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up


客服E-mail:kefu@iyunv.com 在线客服QQ:点击这里给我发消息


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud bjyun

快速回复 返回顶部 返回列表