Web 安全入门

Web 安全入门

前言#

网络安全是一个系统化工程,Web 安全只是其很小的一个部分,因为 Web 应用是目前最常见的软件服务形式,所以 Web 往往是黑客们青睐的攻击点。

我们可以将渗透测试简单地理解为对 Web 应用开展的安全性测试,所以理解 Web 应用的工作原理是开展一切渗透测试工作的前提,涉及 Web 工作原理的内容至少包括:网络协议、Web 中间件、Web 开发语言、数据库、Linux 操作系统等;而安全性测试除了要了解以上知识以外,还需要掌握常见的 Web 漏洞、常见的组件漏洞、框架漏洞和开源项目漏洞。

工具是提高渗透测试工作效率的好帮手,至少应该掌握本文中提到的所有工具的常见功能的用法。

要做好渗透测试,工作思路尤其重要,在开展工作之前必须清晰地知道自己的工作步骤,而不是打开扫描器盲目乱扫。一般来说,渗透测试的目的在于发现漏洞,而且是尽可能地发现高危漏洞(此处特指可以导致命令执行或代码执行的漏洞),从而获取目标系统的 shell 权限(至少是 WebShell ),进而尝试提权得到操作系统的管理员权限。所以工作思路也很明确,首先通过弱口令或者已知的账号密码进入系统,找到上传点或者组件漏洞,实现代码执行或命令执行,再进行后续操作。

红队与渗透测试最大的区别在于渗透测试一般是面向一个目标系统的短期的测试,而且只需要到操作系统权限就结束了;而红队一般是不限手段(可以使用社工),进行持续的,目标是获取内网关键权限的。

基础知识#

网络协议#

  • TCP、UDP:了解三次握手、四次挥手,了解 DDOS 原理

  • HTTP(S):了解从浏览器输入网址到显示出网页经过了哪些过程,以及 HTTPS 建立连接的过程

  • FTP

Web基础#

  • 中间件:最好能自己动手部署一下

    nginx、apache

  • Web 开发语言:能看懂就行,Python 最好会用

    Python、PHP、Java

  • JavaScript:这个很重要,要学会 JavaScript 代码的调试方法

数据库基础#

  • SQL 语法

  • SQL 常见函数

  • SQL 增删改查

Linux 基础#

  • 45 个常用Linux 命令,让你轻松玩转Linux! - 掘金

  • 掌握 SSH 的部署和使用方法:包括远程登录,公钥配置,文件上传下载

  • 错误排查:软件包的安装和卸载、查看日志( cat, tail )、依赖安装

  • 网络配置:DHCP、静态 IP、静态路由配置、防火墙配置、网络调试

  • bash脚本开发

  • 常见环境部署:Java 环境、PHP 环境、Python 环境等

  • Kali

  • git 使用方法

其他#

  • 操作系统安装

  • NAT、host 和桥接的区别和用法

  • 虚拟机安装

漏洞#

所有的漏洞都需要理解原理,能不能记住 POC 并不重要,因为实际情况都是翻笔记找 POC 或者直接用工具来打,只要理解原理都可以灵活应变。

常见漏洞#

参考资料:1earn/1earn/Security/RedTeam/Web安全/Web_Generic at master · ffffffff0x/1earn · GitHub

  • XSS

  • CSRF

  • SQL注入

  • 命令执行

  • 任意代码执行(注意与命令执行的区别)

  • 中间件解析漏洞

  • 任意文件上传

组件漏洞#

  • 反序列化漏洞:common-collections

框架漏洞#

  • ThinkPHP

开源项目漏洞#

  • WebLogic

  • Shiro

  • Log4J

工具#

软件#

  • Burp Suite

  • WireShark

  • Nmap

  • sqlmap

  • MetaSploit

  • searchsploit

  • dirsearch

  • Cobalt Strike

  • ncat

浏览器插件#

  • Proxy SwitchyOmega

    代理插件

  • hackbar

    类似浏览器里面的 BurpSuite

  • Hack-Tools

    集成各种渗透测试需要的小工具:常用POC、编码转换、常用命令、WebShell等。

  • Wappalyzer

    检测网站使用了什么组件。

  • EditThisCookie

    修改 Cookie

在线工具#

靶场练习#

靶场的目的在于熟悉渗透测试工具和思路,因此不需要做很多,把下面列出的几个靶场都做一遍就可以了。

基础漏洞练习#

OverTheWire: Natas

DVWA

真实环境模拟#

DC ~ VulnHub

zzcms

内网渗透#

VulnStack1

参考资料#

posted @   土豆分米猪  阅读(277)  评论(0编辑  收藏  举报
相关博文:
· VulnStack靶机练习
· wargame之Natas解题过程记录
· 渗透测试入门
· WEB—信息收集-架构,搭建,WAF等
· 渗透测试入门思路
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
点击右上角即可分享
微信分享提示
AI FOR CODE 大赛
主题色彩