web安全思考

为什么学习渗透

这里只用于渗透安全测试，请勿用于任何非法渗透，带来的任何后果与本教程和本人无关

如何学好渗透

1.能搭建各种环境（如windos+apache+mysql+php）

2.有IT专业或互联网从业背景

3.最好有开发背景(做过开发思路更清晰)

为什么出这套课程

国内安全培训良莠不齐，片面不系统，此系列教程只用于系统安全测试培训，不进行任何非法业务

课程适合人群

有IT专业或互联网从业背景

课程设计

一、信息收集

二、WEB漏洞

三、安全工具

四、提权

五、代码审计

...

逆向技术为什么学渗透

如今C/S架构程序已走向没落，另外云计算、微服务的兴起造成系统、网络、数据库等层面被模糊，B/S架构正发展的如火如荼，因此寻找到漏洞的机会多，可以作为一个入口点，拿下网站后继续提权，提权时或提权后可进行深入逆向

学什么语言

分析：现在web发展越来越好，传统的C/S程序已经走向没落，因此学WEB语言，如今WEB发展良好的就是JAVA和PHP,JAVA是企业级语言，因此大多数中小型公司选用PHP。
PHP网站的架构最多的是LAMP、LNMP，因此研究这两种架构足以满足入侵多数网站的需求，其它架构的技术可以利用和这两种架构联系不大的一些逆向技术,如sql注入、
密码解密等，因此，绝大多数的网站就可以拿下了

结论：重点来了，LAMP、LNMP架构涉及的技术包括LINUX、apache、nginx、mysql、php、html、css、javascript，这些技术均可利用，逆向技术以编程为核心，
思路为导向，所以在掌握了这两种架构后，重点就是学习PHP、javascript这两种编程技术，后期的辅助语言可以选择任意任意一门自己擅长的语言，用于编写脚本、工具等

学习规划

具备WINDOWS、LINUX系统的初级运维水平(一切基于系统，熟悉系统逆向效率更高)
了解Web安全相关概念
熟悉渗透相关工具
渗透实战操作(看资料操作各种漏洞)
关注安全圈动态(及时学习新技术、结交朋友、规划自己的逆向发展)
编程学习php+java/python
源码审计与漏洞分析
研发脚本和工具