web安全思考
为什么学习渗透
这里只用于渗透安全测试,请勿用于任何非法渗透,带来的任何后果与本教程和本人无关
如何学好渗透
1.能搭建各种环境(如windos+apache+mysql+php)
2.有IT专业或互联网从业背景
3.最好有开发背景(做过开发思路更清晰)
为什么出这套课程
国内安全培训良莠不齐,片面不系统,此系列教程只用于系统安全测试培训,不进行任何非法业务
课程适合人群
有IT专业或互联网从业背景
课程设计
一、信息收集
二、WEB漏洞
三、安全工具
四、提权
五、代码审计
...
逆向技术为什么学渗透
如今C/S架构程序已走向没落,另外云计算、微服务的兴起造成系统、网络、数据库等层面被模糊,B/S架构正发展的如火如荼,因此寻找到漏洞的机会多,可以作为一个入口点,拿下网站后继续提权,提权时或提权后可进行深入逆向
学什么语言
分析:现在web发展越来越好,传统的C/S程序已经走向没落,因此学WEB语言,如今WEB发展良好的就是JAVA和PHP,JAVA是企业级语言,因此大多数中小型公司选用PHP。
PHP网站的架构最多的是LAMP、LNMP,因此研究这两种架构足以满足入侵多数网站的需求,其它架构的技术可以利用和这两种架构联系不大的一些逆向技术,如sql注入、
密码解密等,因此,绝大多数的网站就可以拿下了
结论:重点来了,LAMP、LNMP架构涉及的技术包括LINUX、apache、nginx、mysql、php、html、css、javascript,这些技术均可利用,逆向技术以编程为核心,
思路为导向,所以在掌握了这两种架构后,重点就是学习PHP、javascript这两种编程技术,后期的辅助语言可以选择任意任意一门自己擅长的语言,用于编写脚本、工具等
学习规划
具备WINDOWS、LINUX系统的初级运维水平(一切基于系统,熟悉系统逆向效率更高)
了解Web安全相关概念
熟悉渗透相关工具
渗透实战操作(看资料操作各种漏洞)
关注安全圈动态(及时学习新技术、结交朋友、规划自己的逆向发展)
编程学习php+java/python
源码审计与漏洞分析
研发脚本和工具