学习总结

 

必备技能点掌握情况：

 

 

 

 

 

 

技能点	掌握情况和体会
1、虚拟机使用	熟练使用vmware， 安装过centos集群。 网桥配置很熟练 目前有以下配置​​
2、Kali使用和Linux基本命令	kali常用工具 我之前整理了对kali工具集的使用 nc 瑞士军刀、 nmap 扫描工具 sqlmap burp dns 主机扫描的一堆， kali重复的工具多，老的也多，只是过了下操作，内网渗透这确实是神器     从linux各种问题滚爬摸打出来，真的是有很多对Linux的感慨 linux命令 基本操作会，进阶主要靠百度解决现成的问题
3、网站部署流程	之前从lamp过渡到nmp 再到现在宝塔，dockor 觉得浪费时间不行的，还是宝塔香 现在也完成了一些web项目 java- ssh，spring python-flask php-thinkphp，larvel 部署流程参考我的blog
4、HTTP数据包（包括burp使用）	对于数据包的协议包等格式基本掌握 以及向服务器数据流程： 连接至Web服务器、发送HTTP请求、服务端接受请求并返回HTTP响应、服务器关闭连接，浏览器解析响应、无状态连接 HTTP请求方法以及在wireshark 筛选信息get flag post 、get数据包常用分析   这里也要说一些https，证书加密等也要很多搞头，之前看过很多ssl版本，加密算法这块了解了很长时间   burp主要是作为中间数据处理的高效工具， 常用repeater，intrder爆破，scanner， 也喜欢安装一些备用插件sql注入插件、越权插件等
5、前端基础	这个没什么好说的，H5转SE6 看过别人用js做的高大上效果 我也有做过一个在github上
6、浏览器基础	浏览器学问也是有点深，但是终究对于用的人来说，没法深入， 像ie的版本、浏览器插件漏洞、不同的浏览器会有不同的前端防御措施xss等漏洞实现的效果就会不一样鸭，还有浏览器内核的机制，等 总之对安全人员来讲会F12就已经完美了
7、OWASP TOP 10 漏洞（包括SQL注入，XSS，文件上传等）	17年更新的owsap 看了半个月的那本书，现在关注度不多，但大概都能知道原理，复现过。 这里直接转一个我认为最全的链接   这个对我来说不仅是对技术的思考，也是对安全体系的思考 制订漏洞的规范以及标准等。 链接 都要从2月份的大学生数据安全比赛，体会良多 幸运的获得证书哈哈
8、漏洞实例实操	内网复现比较多，metasploite 利用现成的公开漏洞复现率很高，而且很致命 web漏洞，不知做了多少， 现在研究这些东西，感觉没法找0day，都是开发人员粗心留的逻辑错误，或许开发久了，不想浪费时间，提前交任务算完了哈哈 这里会写几个扫描工具，多助自己
9、信息收集	这种问题，绝对是关键， ​​​​   先放这几个我自己的收藏夹，链接自行体会
10、渗透测试流程（工具使用+手工测试）	这部分大佬太多了 主要掌握一些测试流程，大量的渗透知识，最后完成报告   大一的时候处于高度兴趣，对我们农大内网进行了一次测试，老师还特地嘱咐我只能扫描，不能攻击，那时候只会用工具的我，辛亏没干出傻事，不过，学校确实存在大量老式漏洞， 完事后，我还写了低质量的报告 现在看看，写的真少，完全黑盒测试 真羡慕那群大佬，内网游一圈在一圈，666     推荐常用工具 工具2 主要功能无非端口扫描，主机扫描，路由器破解，现成漏洞扫描，poc 真羡慕犯罪分子的技术，硬件+软件集一身   现在还是讲究高水准，什么时候能来一场电影版的测试对抗

阿飞

 

 

 

选修技能点掌握情况：

选修技能点	掌握情况
1、代码审计流程-比较熟练
2、云安全基础-基本掌握
3、Ptyhon安全开发基础
4、应急响应流程和溯源
5、企业安全体系-比较熟练