渗透测试全过程_渗透测试入门到入狱

hacker|
173

网站渗透测试怎么做?

先看网站类型,安全性相对而已aspaspxphpjspcfm

看服务器类型 windows还是 linux 还有 服务器应用,windows分iis6  iis7等等  linux分apache和nginx   需要知道对于版本的漏洞 如 iis6解析漏洞  你百度,web服务器解析漏洞大全

反正需要懂的知识蛮多的 ,你自学没必要了,知识点 你可以百度下 知识点:

网站入侵学习入门到高手所有重点难点视频推荐

当知识点学的差不多了,总体的方法差不多就是:

入侵网站,锁定目标 识别程序 找oday oday不成功 扫后门 扫备份 无后门 无备份 找后台 找注入 无注入 弱口令 无弱口令 找图片 扫编辑器 无编辑器 扫目录本地文件包含~任意文件下载  xss乱打拿不下 就旁注 旁不下 扫端口 还不行就去社 社不了 就爆破还不行 去C段 ip端口入侵 C段搞不了 子域名下手 还不行字典问题,

后面就是 学精sql注入(知道原理去尝试绕过waf),xss ,还有代码审计 内网域渗透,msf,反正学无止尽 这个知识主要靠累计,其他的靠自己本事去绕waf(ids和cdn),挖xss,oday获取突破点。

如何学习渗透测试?

首先要根据自己的实际情况、确定学习的路线和方向的。就像建大楼,从顶端最华丽的那个地方开始,不可能成功。学渗透测试也一样,没选对入手的地方,导致学习过程中由于欠缺很多的知识点、很多概念理解不了、学习举步维艰、很容易半途而废。

现在我来分析下:

渗透测试属于信息安全行业,准确的说是网络计算机/IT行业

知道它行业属性,你大概就能清楚需要些什么样的基础知识了;下面是我从非计算机网络相关专业的同学想要学习渗透测试必须掌握的知识。

1)了解基本的网络知识、什么是IP地址(63.62.61.123),这个IP去掉点是扣扣学习群,可以免费获取学习课程。IP地址的基本概念IP地址的基本概念、IP段划分、什么是A段、B段、C段等

广域网、局域网、相关概念和IP地址划分范围。

2)端口的基本概念?端口的分类?

3)域名的基本概念、什么是URL、了解TCP/IP协议、

5)了解开放式通信系统互联参考模型(OSI)

6)了解http(超文本传输协议)协议概念、工作原理

7)了解WEB的静态页面和WEB动态页面,B/S和C/S结构

8)了解常见的服务器、例如、Windows server2003、Linux、UNIX等

9)了解常见的数据库、MySQL、Mssql、、Access、Oracle、db2等

10)了解基本的网络架构、例如:Linux + Apache + MySQL + php

11)了解基本的Html语言,就是打开网页后,在查看源码里面的Html语言

12)了解一种基本的脚本语言、例如PHP或者asp,jsp,cgi等

然后你想学习入门,需要学习以下最基础的知识:

1、开始入门学习路线

1)深入学习一种数据库语言,建议从MySQL数据库或者SQL Server数据库、简单易学且学会了。

其他数据库都差不多会了。

2)开始学习网络安全漏洞知识、SQL注入、XSS跨站脚本漏洞、CSRF、解析漏洞、上传漏洞、命令执行、弱口令、万能密码、文件包含漏洞、本地溢出、远程溢出漏洞等等

3)工具使用的学习、御剑、明小子、啊D、穿山甲(Pangolin)、Sqlmap、burpsuite抓包工具等等

2、Google hacker 语法学习

3、漏洞利用学习、SQL注入、XSS、上传、解析漏洞等

4、漏洞挖掘学习

5、想成为大牛的话、以上都是皮毛中的皮毛,但前提是以上的皮毛都是最基础的。

6、Linux系统命令学习、kali Linux 里面的工具学习、Metesploit学习

7、没事多逛逛安全论坛、看看技术大牛的文章、漏洞分析文章等

8、深入学习一门语言、Java或者Python等等,建议学习从Python开始学习、简单易学,容易上手。

9、提升自己的专业能力、把自己练成一个技术大牛、能给你带来一份稳定的高薪水工作,同时你还可利用自己的技术,额外的接些单子,做做副业,这个行业里是有很多单子可以接的。

10、当然想了解的可以来找我,我有时间会给你们答疑解惑的

做渗透难还是程序员难

做程序员难,渗透和程序员是计算机的二个方向,一个编程方向,一个是网络安全,学习程序员较多,精通这方面的人也很多,而渗透测试这方面的人员稀缺,物以稀为贵,无论哪个行业都会有高手存在的,虚心学习才是硬道理,具体还要看个人的选择

渗透测试学习些啥呀?

渗透测试需要的基础技能必须有网络基础、编程基础、数据库基础、操作系统等基本技能。学习的话可以从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入,学习了这些基础技能之后,就可以进行渗透测试的深入学习了,如web方面的学习OWASP TOP 10漏洞挖掘、主机系统服务漏洞检测、App漏洞检测、内网渗透等方面,最后当然是能够编写渗透测试报告啦。

几乎零基础,想从基础学习渗透测试该如何进行?

这个要根据个人的实际情况来决定的,比如你先要去了解什么是渗透测试:

1、渗透测试属于信息安全行业,准确的说是网络计算机/IT行业

2、现在你知道了它的行业属性,那么你是否具备一些这个行业的知识呢?

3、具备的话学习起来比较简单,直接去学习渗透测试实战就行,不具备接着往下看

4、现在知道它行业属性,你大概就能清楚需要些什么样的基础知识了;下面是我从非计算机网络相关专业的同学想要学习渗透测试必须掌握的知识。

5、前期入门大概需要掌握或者说了解以下知识点:

1)了解基本的网络知识,例如什么是IP地址(63.62.61.123)去掉点是扣扣学习群,IP地址的基本概念、IP段划分、什么是A段、B段、C段等2)广域网、局域网、相关概念和IP地址划分范围。

3)端口的基本概念?端口的分类?

4)域名的基本概念、什么是URL、了解TCP/IP协议、

5)了解开放式通信系统互联参考模型(OSI)

6)了解http(超文本传输协议)协议概念、工作原理

7)了解WEB的静态页面和WEB动态页面,B/S和C/S结构

8)了解常见的服务器、例如、Windows server2003、Linux、UNIX等

9)了解常见的数据库、MySQL、Mssql、、Access、Oracle、db2等

10)了解基本的网络架构、例如:Linux + Apache + MySQL + php

11)了解基本的Html语言,就是打开网页后,在查看源码里面的Html语言

12)了解一种基本的脚本语言、例如PHP或者asp,jsp,cgi等

然后你想学习入门,需要学习以下最基础的知识:

1、开始入门学习路线

1)深入学习一种数据库语言,建议从MySQL数据库或者SQL Server数据库、简单易学且学会了。

其他数据库都差不多会了。

2)开始学习网络安全漏洞知识、SQL注入、XSS跨站脚本漏洞、CSRF、解析漏洞、上传漏洞、命令执行、弱口令、万能密码、文件包含漏洞、本地溢出、远程溢出漏洞等等

)工具使用的学习、御剑、明小子、啊D、穿山甲(Pangolin)、Sqlmap、burpsuite抓包工具等等

2、Google hacker 语法学习

3、漏洞利用学习、SQL注入、XSS、上传、解析漏洞等

4、漏洞挖掘学习

5、想成为大牛的话、以上都是皮毛中的皮毛,但前提是以上的皮毛都是最基础的。

6、Linux系统命令学习、kali Linux 里面的工具学习、Metesploit学习

7、没事多逛逛安全论坛、看看技术大牛的文章、漏洞分析文章等

0条大神的评论

发表评论