Web攻防学习可以分为三个阶段:
分别是准备,基础,进阶
计算机网络,web语言,python
解决问题,科学上网,积累经验漏洞类型,资讯和论坛01
准备
在准备阶段,主要在三个方向上提高自我:解决问题,学会科学上网,积累经验
解决问题首先要自己独立思考最重要的是拥有解决问题的信心。尝试将问题分解,然后逐步定位并解决。学会使用搜索引擎,如百度,谷歌。如果遇到了问题,不要害怕提出。
在这里我们为大家推荐一本书:《提问的艺术》
科学上网
科学上网是指用正确的方式搜索所需学习资料
要以学习技术为核心准则,避免参与政治活动
目的:访问国外无法访问的技术资源,如Google,Wikipedia,Stackoverflow简单的选择——Chrome插件(如谷歌访问助手),VPN
自己动手:Shadowsocks 海外VPS 浏览器代理
积累经验学了就忘是正常现象,但要积极地去抵抗。可以尝试自己写博客,来记录遇到的问题、学到的知识或是领会的心得。02
基础
学web,有哪些知识是必备的?
敲黑板,划重点了哦!
1.计算机网络域名系统服务器基础知识HTTP标准
2.web常用语言
HTML:网页的本质
JavaScript:开发Web页面的脚本语言PHP:常用的网站编程语言SQL:一种数据库查询和程序设计语言
学会以上几种语言的标准
1 看得懂别人的源码,有疑惑能够利用Doc或者搜索引擎快速解决。
2 写得出能用的Web应用,可以实现前端、后端和数据库的交互。
还有最最最重要的
要用到
如臂使指
Python
在基础知识累计阶段,要抓住一切写脚本的机会,多写脚本,少用工具。
03
进阶
在打好基础的前提下,你就可以开始研究更深入的知识了。我们推荐大家根据漏洞银行技能树不断前进。
了解常见的漏洞类型
SQL注入:位于后端与数据库之间的攻击,非法截断并构造数据库查询语句,使服务器返回非预期的敏感信息。
XSS:对前端代码的注入。使浏览器运行攻击者构造的恶意脚本。
文件上传:通过各种方式向目标服务器上传非法文件。这部分的重点集中在上传的检测与过滤的绕过。
文件包含:通常与文件上传漏洞结合,将上传后的文件作为PHP程序执行。
代码审计:主要是对PHP源码的审计,寻找其中的逻辑漏洞或是程序语言本身的漏洞。
干货铺子
其他你可能需要的资料
常用工具
1. BurpSuite:抓包工具,也有一些爆破功能。
2. Sqlmap:SQL注入的自动化脚本,支持用户的自定义攻击。
3. 扫描器:用于扫描服务器目录或是其它信息,如御剑等。
4. 浏览器开发者工具:F12大法,是大多数解题的第一步。包括页面源码查看、流量包查看等丰富功能。
5. 浏览器插件:如Hackbar、CookieEditor等。
6.自己或者他人编写的脚本
推荐阅读
左右滑动查看更多
常用学习网站
学习常用web语言和漏洞的知识
菜鸟教程:http://www.runoob.com/
w3school:http://www.w3school.com.cn/
漏洞银行技能树:https://skills.bugbank.cn/
安全论坛
这些网站我们认为值得收藏:
FreeBuf:https://www.freebuf.com/
i春秋:https://www.ichunqiu.com/
XCTF:https://www.xctf.org.cn/
攻防世界:https://adworld.xctf.org.cn/
安全客:https://www.anquanke.com/
廖雪峰博客:https://www.liaoxuefeng.com/