写在前面:
Web安全入门:
如何学习(学习的路线):
下面从几个方面具体说明
需要的基础知识包括但不限于以下几点:
以上五点之中,前三点很重要!
前期推荐学 PHP、Python。HTML 和 CSS 了解、能够看懂并写简单的 HTML 代码。JavaScript 要重点掌握。
实际应用:
把握以下重点:
学会使用工具:
一定一定要知道原理,不然这是一个脚本小子,知识面的大小决定攻击面的大小,原理很重要!
推荐书籍: 鸟哥的 Linux 私房菜,篇幅较长可以当工具书来查阅,但是最好多翻一翻。
常见的 Web 漏洞:
以下为几个重点的:
掌握:
数据库的增删改查
了解:
关系型数据库 MySQL/MSSQL/Oracle
非关系型数据库 Redis/Memchche/MongoDb
工具:
SQLmap/NoSQLmap
SQLmap 支持12种关系型数据库的注入
NoSQLmap 支持非关系型数据库的注入
学完基础的之后:
针对不同数据库的攻击技巧是不同的,不能用工具一把梭。细节就是和大佬之间的区别!
推荐书籍: SQL注入攻击与防御(第二版) sqlmap从入门到精通(简单看一下就行)
作用:
入门书籍: XSS 跨站脚本攻击剖析与防御(有几年了,略老)
检查源代码的安全缺陷,源代码是否存在安全隐患或者编写不规范的地方。
如何进行代码审计(方法论):
入门书籍:《代码审计:企业级 Web 代码安全架构》
Web 安全的本质
渗透测试职业的后半部分应该是安全体系建设的能力,这才是价值的体现,要从实践中获取经验,从经验中抽象出事物的本质。
原文链接:https://www.cnblogs.com/yytest/p/12631137.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18402
