当前位置:首页 >  站长 >  建站经验 >  正文

网站APP渗透测试技术如何快速学习

 2020-11-25 10:16  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  小红书种草一手资源覆盖200+行业

对新知识的学习,应该明确三点:学些什么?怎样去学?三是及时复习。本文以这三点为基础,围绕信息安全学习过程展开论述。大型目标点,在新知识的学习中,明确学习目标是第一件要做的事,有目标才知道自己该往哪里走。但是对新人来说,在无人指导的情况下,明确目标这一步会比较迷茫,所以个人建议如下:

根据OWASPTOP10文件中所总结的漏洞类型来设定目标。但其中一些项目还比较杂糅需要在这一点上继续分化下去,分化的问题放在下一部分来解释,二是培训机构的白嫖课程大纲。这一点,我也是在看别人分享学习经验的时候得到的,原则上,我不推荐培训机构的教学大纲对于帮助快速确定学习目标,无论是在线还是线下的培训机构在询问有什么课程时,都毫不忌讳。三是网上导读文章学习。网上的大部分入门文章都是因为推荐书中有细分知识点,所以文章中没有明确的要学习的点。所以这篇文章对于目标的初步确立并不重要,但一定要参考文章里面推荐的书籍来帮助自己建立目标。

小小的知识点

了解了应该学的知识点后,那么针对这些知识点又应该从哪个方面入手呢?这些经验都是我在良哥学习时总结下来的。共有三个要点:一、造成漏洞的原因?如何利用这些漏洞呢?三、如何防范这些漏洞?在原则上——利用——补习这三个方面进行学习。

如何学习?老问题了,标准答案当然是对搜索引擎的好。搜索漏洞的原理、利用方式、如何防御以获取详细的知识内容,优秀的社区如T00ls、先知又或freebuf、安全客等门户网站都有很好的文章。问题解决后,知识内容就成为实践的东西,但是对于初学者来说,环境总是最难解决的问题。有人建议,可以首先在Windows虚拟机上利用phpstudy,然后结合综合的基础漏洞平台dvwa来学习。一方面是因为环境搭建简单,不容易在环境搭建这方面碰壁,另一方面是因为环境搭建的漏洞非常基础,所以能有效的看出成功,进而保持学习的兴趣。但随后一定要再次手工搭建linux系统下的环境,以加深自己对网站架构的理解,知道组成Web应用程序的那些部分。这可以帮助自己了解出各种漏洞出现问题的地方。当综合漏洞学习完成后就是专项漏洞的学习,综合漏洞毕竟还是比较基础的,要对所学知识点进行更深入的练习需要更具体的环境,靶场推荐.

而在这些漏洞的学习中,则需要相应地加强基础知识,比如编程语言的学习,各种协议的学习等等。基本知识和完成漏洞的学习后,就可以考虑尝试在实际场景中测试或在CTF中锻炼自己。由于自身也在这个阶段,所以不能为这些内容提供有效的帮助。真实的漏洞挖掘在学习CTF中的同时,关注一些最新的漏洞动态或者大佬们关于漏洞的研究文章,积极动手,重新学习相关的漏洞。这个学习的东西会很杂,所以我们要把学习的内容分类,这样才能对自己的知识有一个结构化的了解,知道自己的不足之处,方便自己查漏补缺。

其实在这个方面没有什么特别的办法,只有靠自己坚持。但是如果看了自己的文章觉得比较惭愧,或者不能静心的话,可以记下自己每次查阅资料的地址,对这些资料的内容再学习。也希望在安定了生活状态后,自己可以多花点时间来总结和分享。如果想要对自己网站或APP进行渗透测试的话可以去看看SINESAFE,鹰盾安全,启明星辰,绿盟等等这些安全公司来处理。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:160篇

相关标签
渗透测试

相关文章

  • 网站安全防护之常见漏洞有哪些

    文件包含漏洞。文件包含函数中包含的文件参数没有过滤或严格定义,参数可以由用户控制,可能包含意外文件。如果文件中存在恶意代码,无论文件是什么后缀类型,文件中的恶意代码都会被解析执行,导致文件包含漏洞。

  • 网站渗透测试漏扫工具的另类用法

    对于第三方插件,我们在统一调度机制和库文件上花了不少功夫,还有一个关键点就是转换库的格式。在各种插件的上报过程中,我们会尽量为第三方插件挂接数据上报层,统一格式后上报。但是,并不是每种插件都有一个统一的将记录放入库中的过程,可能需要为这种插件重写函数。目前我们的插件都是点击式的。为了符合法律法规层面

    标签:
    渗透测试
  • 黑客角度渗透测试与社会工程学利用

    如何掌握社会工程学?社会工程学涉及人性的利与弊。想要熟练掌握社会工程学,需要各种相关知识,比如心理学、密码学、逻辑学等。,而且你还必须读一些其他的相关书籍,比如卡耐基的《人性的弱点》,克里斯托弗·哈德纳吉的《社会工程学——人类在安全系统中的脆弱性》等。此外,我们必须有意识地培养自己的同理心能力,这在

    标签:
    渗透测试
  • 渗透测试攻与防之sql延伸注入

    对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入中文和英文的数值,其他的以此类推。

  • 渗透测试服务之目标信息搜集手法

    服务器资料收集一、旁站什么叫旁站攻击?即一台服务器上有多个Web站点,而我们的渗透目标是其中一个站点,当我们不能攻破目标站点时,我们可以尝试攻破服务器上的其他站点,然后再攻破目标站点,例如跨目录或提权。常用的旁站查询过程如下。(1)取得渗透目标的真实IP地址。(2)使用网站平台、工具对IP地址进行反

热门排行

信息推荐

扫一扫关注最新创业资讯