web攻防学是什么语言(讲解web攻防实战)

web攻防学是什么语言(讲解web攻防实战)

Web攻防学习可以分为三个阶段:

分别是准备,基础,进阶

计算机网络,web语言,python

解决问题,科学上网,积累经验漏洞类型,资讯和论坛01

准备

在准备阶段,主要在三个方向上提高自我:解决问题,学会科学上网,积累经验

解决问题首先要自己独立思考最重要的是拥有解决问题的信心。尝试将问题分解,然后逐步定位并解决。学会使用搜索引擎,如百度,谷歌。如果遇到了问题,不要害怕提出。

在这里我们为大家推荐一本书:《提问的艺术》

科学上网

科学上网是指用正确的方式搜索所需学习资料

要以学习技术为核心准则,避免参与政治活动

目的:访问国外无法访问的技术资源,如Google,Wikipedia,Stackoverflow简单的选择——Chrome插件(如谷歌访问助手),VPN

自己动手:Shadowsocks 海外VPS 浏览器代理

积累经验学了就忘是正常现象,但要积极地去抵抗。可以尝试自己写博客,来记录遇到的问题、学到的知识或是领会的心得。02

基础

学web,有哪些知识是必备的?

敲黑板,划重点了哦!

1.计算机网络域名系统服务器基础知识HTTP标准

2.web常用语言

HTML:网页的本质

JavaScript:开发Web页面的脚本语言PHP:常用的网站编程语言SQL:一种数据库查询和程序设计语言

学会以上几种语言的标准

1 看得懂别人的源码,有疑惑能够利用Doc或者搜索引擎快速解决。

2 写得出能用的Web应用,可以实现前端、后端和数据库的交互。

还有最最最重要的

要用到

如臂使指

Python

在基础知识累计阶段,要抓住一切写脚本的机会,多写脚本,少用工具。

03

进阶

在打好基础的前提下,你就可以开始研究更深入的知识了。我们推荐大家根据漏洞银行技能树不断前进。

了解常见的漏洞类型

SQL注入:位于后端与数据库之间的攻击,非法截断并构造数据库查询语句,使服务器返回非预期的敏感信息。

XSS:对前端代码的注入。使浏览器运行攻击者构造的恶意脚本。

文件上传:通过各种方式向目标服务器上传非法文件。这部分的重点集中在上传的检测与过滤的绕过。

文件包含:通常与文件上传漏洞结合,将上传后的文件作为PHP程序执行。

代码审计:主要是对PHP源码的审计,寻找其中的逻辑漏洞或是程序语言本身的漏洞。

干货铺子

其他你可能需要的资料

常用工具

1. BurpSuite:抓包工具,也有一些爆破功能。

2. Sqlmap:SQL注入的自动化脚本,支持用户的自定义攻击。

3. 扫描器:用于扫描服务器目录或是其它信息,如御剑等。

4. 浏览器开发者工具:F12大法,是大多数解题的第一步。包括页面源码查看、流量包查看等丰富功能。

5. 浏览器插件:如Hackbar、CookieEditor等。

6.自己或者他人编写的脚本

推荐阅读

左右滑动查看更多

常用学习网站

学习常用web语言和漏洞的知识

菜鸟教程:http://www.runoob.com/

w3school:http://www.w3school.com.cn/

漏洞银行技能树:https://skills.bugbank.cn/

安全论坛

这些网站我们认为值得收藏:

FreeBuf:https://www.freebuf.com/

i春秋:https://www.ichunqiu.com/

XCTF:https://www.xctf.org.cn/

攻防世界:https://adworld.xctf.org.cn/

安全客:https://www.anquanke.com/

廖雪峰博客:https://www.liaoxuefeng.com/

发表评论

登录后才能评论