本文作者:i春秋作家 大哥哥團長
說到Web安全必須要了解Web方面的一些基礎知識做為鋪墊的去的去學習這門技術,因為不是人人都可以直接先滲透在進行編程等方面學習的、所以為了更好的入門的Web安全必須要先掌握一些基礎知識,相比對逆向方面的入門Web安全真的不難,逆向要是想了解一個簡單的什么叫jmp esp溢出需要的基礎知識不是一點點,如果是計算機專業的還好,不然通過自己去學習真的不是那么簡單,不說太多,下面我就給大家推薦一個前期學習知識的路徑和資源鏈接。
首先是我給大家推薦的是前端的html/css/js + php進行學習,前端的這些都是肯定需要學習的知識,至於后端的編程語言我建議還是php,主要是因為入門學習快、目的呢就是更快的接觸到php+mysql開發,這樣前前后后的知識加起來才能在知識鏈上完整構成一個網站,這樣做的好處的就是快速了解一個網站如何開發,什么是前端和后端?什么是http?什么是數據庫,網站的數據都存儲在哪?
首先推薦一批課程>>>>>.
通過本課程的學習,學者能夠較為熟練的使用DVWA和Metasploit這兩大滲透測試工具,在代碼分析和滲透實戰的過程中,深入理解漏洞產生的原理,整體把握漏洞利用的方法。
他將會圍繞web安全方向講解常見的漏洞類型以及需要學習的基礎知識,並簡單介紹如何組合利用各種低危類型漏洞達到高危漏洞的效果,帶你探索跟電影中不一樣的白帽黑客進攻秘密。
本門課程面向所有Web安全愛好者,講師王松_Striker將從XSS基礎講起,第一章主要科普基礎知識,包括XSS的原理及存儲型XSS、反射型XSS、DOM型XSS的實戰詳解以及XSS輔助工具的學習;第二章主要學習多種XSS不同場景下不同的方法及Bypass技巧詳解;第三章屬於補充章節,主要講一些XSS相關有趣的技術,如:Electron跨平台XSS執行系統命令、變種XSS:持久控制、以及MVVM模式下的XSS場景等,該章節不定期更新,有好玩的技術則會補充。
通過對本課程的學習,學者能夠熟悉敏感信息泄露的原因;掌握如何防止信息泄露; 熟悉暴力破解的原理;掌握高效率破解的手段和一些主流破解工具的使用和防御方法;了解拒絕服務的原理;掌握相關手段的防御。
5、Web漏洞講解之Web應用程序安全與風險<<<點開學習
Web應用基礎、常見漏洞,最后詳細的對漏洞實例進行了分析。SQL注入、XSS、CSRF等這些對於Web開發人員來說耳熟能詳的,但可能一知半解的術語都將在這個課程里得到詳細的剖析。
第一部分資源鏈接如下:
這套PHP的教程包含了html/css/js和php+mysql保證一天看一課時的一個月就可以掌握,文件中的“就業班”的文件夾包括了一些后續的jquery+ajax+xml等等, 在前期的學習過程中這些后續知識可以選擇性學習
鏈接: https://pan.baidu.com/s/1pMZqRaF 密碼:st4m
下面這個鏈接是HTTP協議的教程來源自燕十八php教程中,我覺得這個http講解的非常好
鏈接: https://pan.baidu.com/s/1pNgIyNp 密碼:kfi7
在學習了上面教程恭喜你已經簡單的入門了Web,接下來了就是進行安全的學習,這方面我就給大家一個教程就是小迪的,剩下的網絡上的教程個人覺得都不太適 合入門,除了個別的不錯,大部分都是直入主題之家講怎么利用,不適合學習!
鏈接: https://pan.baidu.com/s/1pMbc4XH 密碼: 9i59
教程中工具連接
鏈接: https://pan.baidu.com/s/1pLfx8Sz 密碼:sfsd
注:在學習完成以上知識后就可以在各大漏洞平台找一些目標來實際的挖洞一下,前期肯定是花大量的時間也不一定的夠挖到,所以可以加i春秋的聊天群問問大佬!
第二部分資源鏈接如下:
好了,在學習上面的教程中已經可以算是安全入門了,不過接下來還需要在一部進行學習
這部分是沒有什么教程的,需要自己去百度學習,學習的內容就是2003、2008操作系統聽着很簡單對不對?
我需要大家使用以上的操作系統使用網上的已有的CMS(如:discuz,WordPress,phpcms,dedecms等)大家一個站點,從在服務器上安裝和配置php+apache+mysql等環 境開始,不要使用集成工具偷懶,去體會一個網站的搭建流程,知道是什么ftp,什么是空間,在網上買的虛擬主機和服務器,vps是個什么區別?什么是CMS目標站點?
我建議是自行在空間商購買一個服務器,價格一個月在100以內就可以了! 注:如果是不能購買那么請學習安裝虛擬機本地使用鏡像搭建服務器環境
以上的內容的最好通過百度自己完成,這些小問題都是百度都可以解決,要學會使用百度,不要什么問題都去問別人!!!
接下來肯定是一部分的linux知識學習了
是一個在線的教程
http://study.163.com/course/courseMain.htm?courseId=983014
接着可以學習一門可以方便我們寫exploit利用工具的編程語言,首選肯定是python 優點:入門快,網絡編程擁有強大的各種庫做支持,更易編寫工具
一套的簡易的在線教程,來自於中谷python,學習完畢后寫一些簡單的GET/POST型工具練練手不是問題
http://www.icoolxue.com/album/show/113
注:第二部分的同樣的很重要,了解網站的搭建構成,什么是CMS,對滲透很有幫助,現在大多數的網站基本上都是使用的CMS建站,因為安全,方便,模板樣式也多,通常在滲透過程中我們對目標的信息收集就要着重關注這些程序的版本是不是最新的?如果不是有沒有漏洞呢?
第三部分資源鏈接如下:
這部分是一大塊,我不打算在細分了,之前的內容幾個月就可以完成,下面的內容能1年內完成都可以說是很不錯的!
這部分我認為應該需要掌握TCP/IP原理以及進一步的提升編程技術。
教主的TCP/IP教程
鏈接: https://pan.baidu.com/s/1dEMM8t7 密碼:ybmm
傳智的前端的教程,非常推薦學習!
鏈接: https://pan.baidu.com/s/1bqy18Ur 密碼:hsyf
傳智的的Java教程,選擇性學習,如果感興趣Java的可以學習。如果不學習也可以看看里面的oracle數據庫教程!
鏈接: https://pan.baidu.com/s/1jJJmbDc 密碼:r7tb
有兩套Python的教程,都是系統的pythonWeb開發,選擇一套學習即可
鏈接: https://pan.baidu.com/s/1jKf6Fxs 密碼: 2mes
結語:
其實在接觸了Web安全1年之后大家都自己也能知道自己以后的學習目標,第三部分主要還是推薦些好的資源!
學習過程中,尤其是前期學習千萬不要放棄,三天兩頭的進行學習,同時學習的過程中要記錄圖文並茂的筆試,最重要的進行實踐,實踐,實踐!
在實踐中發現問題,解決問題!
安全非一朝一夕之事
解密密碼請看壓縮包注釋,謝謝
>>>>>> 黑客入門必備技能 帶你入坑和逗比表哥們一起聊聊黑客的事兒,他們說高精尖的技術比農葯都好玩~