klsfct

又惘又怠

页首Html代码

学习总结

 

必备技能点掌握情况:
 
 
 
 
 
 
技能点
掌握情况和体会
1、虚拟机使用
 
熟练使用vmware,
安装过centos集群。
网桥配置很熟练
目前有以下配置
 
2、Kali使用和Linux基本命令
 
kali常用工具
我之前整理了对kali工具集的使用
nc 瑞士军刀、
nmap 扫描工具
sqlmap
burp
dns
主机扫描的一堆,
kali重复的工具多,老的也多,只是过了下操作,内网渗透这确实是神器
 
 
从linux各种问题滚爬摸打出来,真的是有很多对Linux的感慨
linux命令 基本操作会,进阶主要靠百度解决现成的问题
 
3、网站部署流程
 
之前从lamp过渡到nmp
再到现在宝塔,dockor
觉得浪费时间不行的,还是宝塔香
现在也完成了一些web项目
java- ssh,spring
python-flask
php-thinkphp,larvel
部署流程参考我的blog
4、HTTP数据包(包括burp使用)
 
对于数据包的协议包等格式基本掌握
以及向服务器数据流程:
连接至Web服务器、发送HTTP请求、服务端接受请求并返回HTTP响应、服务器关闭连接,浏览器解析响应、无状态连接
HTTP请求方法以及在wireshark 筛选信息get flag
post 、get数据包常用分析
 
这里也要说一些https,证书加密等也要很多搞头,之前看过很多ssl版本,加密算法这块了解了很长时间
 
burp主要是作为中间数据处理的高效工具,
常用repeater,intrder爆破,scanner,
也喜欢安装一些备用插件sql注入插件、越权插件等
 
 
5、前端基础
 
这个没什么好说的,H5转SE6
看过别人用js做的高大上效果
我也有做过一个在github
 
6、浏览器基础
 
浏览器学问也是有点深,但是终究对于用的人来说,没法深入,
像ie的版本、浏览器插件漏洞、不同的浏览器会有不同的前端防御措施xss等漏洞实现的效果就会不一样鸭,还有浏览器内核的机制,等
总之对安全人员来讲会F12就已经完美了
7、OWASP TOP 10 漏洞(包括SQL注入,XSS,文件上传等)
 
17年更新的owsap
看了半个月的那本书,现在关注度不多,但大概都能知道原理,复现过。
这里直接转一个我认为最全的链接
 
这个对我来说不仅是对技术的思考,也是对安全体系的思考
制订漏洞的规范以及标准等。
都要从2月份的大学生数据安全比赛,体会良多
幸运的获得证书哈哈
8、漏洞实例实操
 
内网复现比较多,metasploite 利用现成的公开漏洞复现率很高,而且很致命
web漏洞,不知做了多少,
现在研究这些东西,感觉没法找0day,都是开发人员粗心留的逻辑错误,或许开发久了,不想浪费时间,提前交任务算完了哈哈
这里会写几个扫描工具,多助自己
9、信息收集
 
这种问题,绝对是关键,
 
先放这几个我自己的收藏夹,链接自行体会
 
 
10、渗透测试流程(工具使用+手工测试)
 
这部分大佬太多了
主要掌握一些测试流程,大量的渗透知识,最后完成报告
 
大一的时候处于高度兴趣,对我们农大内网进行了一次测试,老师还特地嘱咐我只能扫描,不能攻击,那时候只会用工具的我,辛亏没干出傻事,不过,学校确实存在大量老式漏洞,
完事后,我还写了低质量的报告
现在看看,写的真少,完全黑盒测试
真羡慕那群大佬,内网游一圈在一圈,666
 
 
推荐常用工具
主要功能无非端口扫描,主机扫描,路由器破解,现成漏洞扫描,poc
真羡慕犯罪分子的技术,硬件+软件集一身
 
现在还是讲究高水准,什么时候能来一场电影版的测试对抗  
阿飞
 
 
 
选修技能点掌握情况:
选修技能点
掌握情况
1、代码审计流程-比较熟练
 
 
2、云安全基础-基本掌握
 
 
3、Ptyhon安全开发基础
 
 
4、应急响应流程和溯源
 
 
5、企业安全体系-比较熟练
 
 
 
 
 
posted @ 2019-07-31 01:46  klsfct  阅读(227)  评论(0编辑  收藏  举报