web安全入門路線及資源整理

一、滲透測試整體框架

四步走：
1.資訊收集
2.外網入口
3.許可權提升與維持
4.內網滲透

1.資訊收集

技術資訊收集

埠資訊：nmap掃描
ip資訊，c段掃描、撒旦、zoomeye、fofa等
域名資訊收集、二級域名爆破、域名註冊資訊
應用實別、網站cms實別、目錄掃描、資訊洩露實別（git、svn等）

公開情報收集

公司人員組織的資訊，即利用社會工程學

2.外網入口

• web伺服器

• VPN伺服器

• 郵箱伺服器

• apk逆向

• wifi介面

• 其他
  

3.許可權維持與提升

• web後門

• 系統後門

• 許可權提升

• 許可權維持

4.內網滲透

• 內網資訊收集

• 工作組和域

• 橫向拓展和縱向拓展

二、學習路線

• web基礎

• 漏洞原理

• 程式設計能力

• 實戰練習

1.web基礎

程式設計基礎：指令碼語言，開發語言
網路基礎：tcp/ip 、http、dns
伺服器的基本使用：linux/windows,基本操作命令、如何搭建web伺服器（
apache+php+mysql

工具使用：
wireshark burpsuite

2.漏洞原理、防火牆

owasp top10

3.程式設計能力

指令碼、工具、poc、編寫

三、學習資源整理

實踐：ctf題目、線上靶場、自己搭建環境、src書籍

靶場

dvwa，pikachu,awvs