web分為好幾層,一圖勝千言:
完全沒有基礎我該從哪下手?
完全沒有基礎學習 web 安全是件比較難的事情,所以我給出的最小的方案和最少的建議。
工具 先用 awvs 掃幾個測試**大體了解一下
把掃到的漏洞復現,了解怎麼利用,主要了解:
xsssql 注入
遠端**執行
開發 書籍
《細說 php》
實踐 使用 php 寫乙個列目錄的指令碼,可以通過引數列出任意目錄的列表
使用 php 抓取乙個網頁的內容並輸出
使用 php 抓取乙個網頁的內容並寫入到mysql資料庫再輸出
安全 實踐
手工找 http://
的漏洞,對比 awvs 的結果
書籍 《黑客攻防---web安全實戰詳解》
《安全之路:web滲透技術及實戰案例解析(第2版)》
還是看不懂就找自己能看得進的 web 安全的書
探索資源,我在研究和學習的過程中更加好的資源和工具來幫助我們成長和解決問題?
平時我們安裝乙個mysql,要先到處找安裝包,再一步步配置,執行,還不知道裝哪了。開機就自動啟動了,用了 docker 後再也沒這個煩惱拉,一行命令,或者是在kitematic介面上點一下就執行拉。
github
搜尋 awesome-***
舉例https://
找到大牛的 github 看 stars,也就是收藏的專案
移動安全
web 安全、ctf
前端安全
滲透測試、內網安全
安全開發
探索頻道 https://
主要是一些有趣的新潮的專案
當然也有安全相關的啦 https://
趨勢 https://
善用收藏
,用於查詢已經封裝好的環境,減少裝環境帶來的麻煩
舉例:資料庫 mysql https://
一句話安裝執行:docker run -e mysql_root_password=my-secret-pw -d mysql:latest
xss攻擊平台beef https://
一句話安裝執行:docker run --rm -p 3000:3000 janes/beef
kali 滲透測試 linux 系統 https://
漏洞靶場 https://
一句話安裝執行:docker run -d -p 80:80 citizenstig/dvwa
一句話安裝執行:docker run --rm uzyexe/nmap -p 80
搜尋通用漏洞靶場,關鍵字:cve-
安全相關的 *****
web安全測試
web安全 認證與授權 1.認證2.授權3.避免未經授權的頁面可以直接訪問 session與cookie 1.session,cookie欺騙2.避免儲存敏感資訊到cookie檔案中3.作用域 不同的系統應用不同的作用域 ddos拒絕服務攻擊 1,伺服器傳送請求2.肉雞3.攻擊聯盟4.需要技術的是利...
web安全測試
web安全測試是指 檢驗web產品抵抗網路攻擊能力的乙個過程 web攻擊兩個特點 1.影響範圍廣 2.經濟損失大 靜態掃瞄 工具 fortify,sonarqube等 記憶體掃瞄 可以使用防毒軟體 黑盒動態測試 也叫滲透測試 模擬黑客對系統進行攻擊 收集資訊 比如收集ip位址 作業系統 中介軟體 版...
web安全測試
於感謝分享!細分流程圖,安全漏洞根據客戶端與伺服器端的分布 xss 跨站指令碼攻擊。惡意攻擊者往web頁面裡插入惡意html 當使用者瀏覽該頁之時,嵌入其中web裡面的html 會被執行,從而達到惡意使用者的特殊目的。主要指的自己構造xss跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。舉個栗子...