提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
web安全入门路线及资源整理
前言
提示:这里可以添加本文要记录的大概内容:
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。
提示:以下是本篇文章正文内容,下面案例可供参考
一、渗透测试整体框架
四步走:
1.信息收集
2.外网入口
3.权限提升与维持
4.内网渗透
1.信息收集
技术信息收集
端口信息:nmap扫描
ip信息,c段扫描、撒旦、zoomeye、fofa等
域名信息收集、二级域名爆破、域名注册信息
应用实别、网站cms实别、目录扫描、信息泄露实别(git、svn等)
公开情报收集
公司人员组织的信息,即利用社会工程学
2.外网入口
- web服务器
- VPN服务器
- 邮箱服务器
- apk逆向
- wifi接口
- 其他
3.权限维持与提升
- web后门
- 系统后门
- 权限提升
- 权限维持
4.内网渗透
- 内网信息收集
- 工作组和域
- 横向拓展和纵向拓展
二、学习路线
- web基础
- 漏洞原理
- 编程能力
- 实战练习
1.web基础
编程基础:脚本语言,开发语言
网络基础:tcp/ip 、http、dns
服务器的基本使用:linux/windows,基本操作命令、如何搭建web服务器(
apache+php+mysql
工具使用:
wireshark burpsuite
2.漏洞原理、防火墙
owasp top10
3.编程能力
脚本、工具、poc、编写
三、学习资源整理
实践:ctf题目、在线靶场、自己搭建环境、src
靶场
dvwa,pikachu,
awvs官方靶站
testphp.vulnweb.com
华盟提供的靶场:https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650478163&idx=4&sn=dca286f567dfe24e3b0252cfd600d857&chksm=83ba73b7b4cdfaa1a3d7bef8bab5d3120e9e8a7032473c3cd5f56b14a3879fe453fc343acdf8&mpshare=1&scene=23&srcid=0827U4aUkIlIf0OY2YAkPa5p&sharer_sharetime=1598507299581&sharer_shareid=02d1f7364c057b5716f51edf851357fc#rd
CTF靶场:
- 攻防世界https://adworld.xctf.org.cn/
- I春秋https://www.ichunqiu.com/ 有实验中心、CTF大本营,都有很多靶场环境
- Bugku https://ctf.bugku.com/