web安全入門路線及資源整理

語言: CN / TW / HK

一、滲透測試整體框架

四步走:
1.資訊收集
2.外網入口
3.許可權提升與維持
4.內網滲透

1.資訊收集

技術資訊收集

埠資訊:nmap掃描
ip資訊,c段掃描、撒旦、zoomeye、fofa等
域名資訊收集、二級域名爆破、域名註冊資訊
應用實別、網站cms實別、目錄掃描、資訊洩露實別(git、svn等)

公開情報收集

公司人員組織的資訊,即利用社會工程學

2.外網入口

  • web伺服器

  • VPN伺服器

  • 郵箱伺服器

  • apk逆向

  • wifi介面

  • 其他
    在這裡插入圖片描述

3.許可權維持與提升

  • web後門

  • 系統後門

  • 許可權提升

  • 許可權維持

4.內網滲透

  • 內網資訊收集

  • 工作組和域

  • 橫向拓展和縱向拓展

二、學習路線

  • web基礎

  • 漏洞原理

  • 程式設計能力

  • 實戰練習

1.web基礎

程式設計基礎:指令碼語言,開發語言
網路基礎:tcp/ip 、http、dns
伺服器的基本使用:linux/windows,基本操作命令、如何搭建web伺服器(
apache+php+mysql

工具使用:
wireshark burpsuite

2.漏洞原理、防火牆

owasp top10
在這裡插入圖片描述

3.程式設計能力

指令碼、工具、poc、編寫

三、學習資源整理

實踐:ctf題目、線上靶場、自己搭建環境、src書籍

靶場

dvwa,pikachu,awvs