[心得]暑期滲透測試—學習計划


0、前序

暑假的時間還有很長時間,這段時間用來學習是再好不過了。然后我就把今后的學習目標整理了一下。因為這只是針對我的不足而指定的學習路線,其中有些板塊中的部分內容,我是已經有所學過的,所以就沒有寫入其中。如果想要借鑒的話,請根據自身的能力與不足進行增添或排除。現將大致方向與內容列置於此:

1、SQL注入

  • 可顯
  • 不可顯
  • 1階/2階
  • 繞WAF
  • 實戰

(規定時間:1周)

2、XSS

  • 類型與原理基礎
  • 繞過方式(不斷積攢)
  • 組合拳(XSS可以借助其它某些漏洞,實現不同的漏洞效果)

(規定時間:2天)

3、CSRF\SSRF\CRLF\XXE

  • 漏洞定義
  • 熟悉漏洞環境

(XXE的漏洞靶場:https://github.com/c0ny1/xxe-lab)

(規定時間:5天)

4、弱口令

  • 熟練運用各種爆破工具
  • python腳本(WEB應用)
  • hydra(端口)
  • burp(繞過表單驗證碼)

(規定時間:1周)

5、工具使用

  • Namp
  • Sqlmap
  • MSF
  • 實戰

(規定時間:2周)

6、提權/隱藏

  • 應用級提權
  • 系統級提權(各種MSxx-xxx)
  • 日志清理(多方面)

(規定時間:2周)

7、端口漏洞

  • 配置文件錯誤
  • 未授權訪問漏洞
  • 端口溢出
  • 其它

(規定時間:1周)

8、CMS漏洞合集

(規定時間:1周)

9、其它系統應用級漏洞

  • OA類
  • ThinkPhp類
  • Django類
  • ......

(規定時間:1周)

10、域滲透

  • 基礎知識
  • 方法與實踐

(規定時間:3天)

11、其它小項目

  • 變量覆蓋漏洞
  • 反序列化漏洞
  • 正則表達式(Python/PHP)

(規定時間:3天)


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM