IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 如何入门网络安全行业?史上最全学习路线资料分享 -> 正文阅读

[PHP知识库]如何入门网络安全行业?史上最全学习路线资料分享

一、学习的优先级

前几天有同学问我问题:web渗透、内网渗透、网站渗透,这三者的学习的优先级应该是?

  • 第一阶段:web渗透

  • 第二阶段:网站渗透

  • 第三阶段:内网渗透

二、各个阶段的学习路线规划

2.1 第一阶段:web渗透

  • 学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等:可以通过Google搜索获取资料)为之后的WEB渗透测试打下基础。 ② 查看一些论坛的一些Web渗透资料,学一学案例的思路,每一个站点都不一样,所以思路是主要的。 ③ 学会提问的艺术,如果遇到不懂得要善于提问。

  • 配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。 ② 下载这些工具无后门版本并且安装到计算机上。 ③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找资料。

  • 渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。 ② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。 ③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。 ④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。 ⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。 ⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。 ⑦ 了解一句话木马,并尝试编写过狗一句话。 ⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权

① 例如:Freebuf、i春秋、安全客、安全类的微信公众号、google搜索。 ② 遇到有意义的文章可以转载到自己博客

  • 熟悉Windows & Kali Linux 系统 时间:2周 ~ 4周

①了解Windows系统下的常用命令,如:ipconfig,nslookup,tracert,net,tasklist,taskkill等。 ② 熟悉Linux系统的常用命令,如:wget、mv、cd、rm、mkdir等。 ③ 熟悉Kali Linux系统下的常用工具。

  • 学习服务器的安全配置 时间:4周左右

① 了解03、08、12系统下iis的基本配置,了解Win下的目录权限(例如iis写权限),建立一个简单的站点。 ② 了解Linux的运行权限、跨目录、文件夹权限,学会配置Linux Web服务器,并建立一个简单的站点。 ③ 使用自动化工具扫描已经建立好的站点,并利用Google学会修补漏洞。 ④ 学会打补丁、iptables限制端口、添加规则等。 ⑤ 下载一款waf软件,熟悉它的使用。

  • 学习一些编程知识 时间:约8周

① 在w3cschool上学习html、php、数据库的基础,建议每一种学到第8节就可以了。 ② 学习Python(也可以是其他语言,但是强烈建议使用python)。要求学习:爬虫(基础)、多线程、文件操作、正则表达式(基础)还有一些常用的第三方库,可能需要安装pip。 ③ 利用python写一个简单的poc或者exp。 ④ 开发一些渗透时会用到的程序,例如:端口扫描等。 ⑤ 选择一个php框架进行学习,不要太深入。

  • 学习代码审计 时间:4周 ~ 6周

① 了解代码审计的静态和动态方法,懂得分析程序。 ② 在乌云镜像里找到开源的漏洞程序,跟着学习分析方法,尝试自己分析3~5次代码。 ③ 了解web漏洞形成的原因,熟悉常见漏洞函数。

  • 安全体系开发 时间:∞

① 开发一些安全工具,并将其开源,可以托管到码云或者github上,展示个人实力。 ② 建立自己的一套安全体系,拥有独立的思路方法。

2.2 第二阶段:网站渗透

可以学习一下亮神分享

https://github.com/Micropoor/Micro8icon-default.png?t=M0H8https://github.com/Micropoor/Micro8

2.3 第三阶段:内网渗透

内网渗透自学路线指南

No.1 基础篇

01

https://daiker.gitbook.io/windows-protocol/ 【windows认证知识】

02

https://github.com/l3m0n/pentest_study【域环境搭建、端口转发等知识】

03

https://xz.aliyun.com/t/6349【内网渗透之端口转发、映射、代理】

04

https://gorgias.me/2018/04/04/渗透中的数据转发技巧/【SSH、ICMP、DNS等隧道建立知识】

No.2 进阶篇

01

https://github.com/Paper-Pen/GatherInfo【内网信息收集】

02

https://www.anquanke.com/post/id/92646【域渗透】

03

http://rinige.com/index.php/archives/625/【内网信息收集之定位技术】

04

http://dwz.date/x47【横向移动】https://www.secshi.com/21502.html【工作组渗透

No.3 高阶篇

01

https://xz.aliyun.com/t/2354【内网安全检查/渗透总结】

02

https://lab.pentestit.ru/【国外内网靶场】

03

http://vulnstack.qiyuanxuetang.net/vuln/【国内内网靶场(红日安全出品)】

04

https://github.com/PowerShellMafia/PowerSploit【powershell框架,最好自己学习一powershell语法】https://github.com/Ridter/Intranet_Penetration_Tips【内网渗透TIPS】

另外,我这边建立了一个信息安全交流群:976787708

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-02-06 13:38:10  更:2022-02-06 13:38:18 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 5:04:44-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计