[网络安全学习篇附]:Web 安全学习路线

Table of Contents

Web 安全学习路线

熟悉Windows/kali Linux 系统

服务器安全配置

脚本编程学习

熟悉Web 相关的概念

熟悉渗透相关的工具

渗透实战操作

关注安全圈动态

源码审计与漏洞分析

安全体系设计与开发


Web 安全学习路线

 

熟悉Windows/kali Linux 系统

学习Windows/Linux 基本命令、常用工具

熟悉Windows 下 cms 命令,如ipconfig、nslookup、tracert、net user、net localgroup、tasklist、taskkill等等

熟悉Linux 下的 bash 常用命令,如ifconfig、Ls、cp、mv、vim、wget、sudo、service等等

熟悉kali 下的常用工具

 

服务器安全配置

学习服务器环境搭建及配置

1、Windows 2003/2008 环境下的IIS配置

2、Linux 环境下的Apache、Nginx 等服务器的配置

3、通过一些漏洞扫描工具(Nessus\openVAS)对配置环境进行漏洞扫描

4、配置软件Waf 加强系统安全,在服务器端配置mod_security 等系统 

 

脚本编程学习

学习脚本语言python/PHP/Go/java

python 编程学习,如语法、函数、对象、正则、文件、网络、多线程等库,尝试编写简单的python 爬虫

搭建PHP开发环境,如XAMPP、phpstudy等,学习PHP语言相关内容,并学习编写简单的论坛系统

学习HTML、j=JavaScript,了解CSS

 

熟悉Web 相关的概念

如注入、文件上传、XSS、CSRF、一句话木马等等

看一些视频/笔记,了解渗透实战的整个流程。

 

熟悉渗透相关的工具

了解AWVS、sqlmap、MSF、Bp、nmap、Appsan、nessus、chopper等相关工具的使用

网上搜索相关教程学习使用

学完之后可以尝试使用音速启动做一个渗透工具箱

 

渗透实战操作

自己搭建靶场练习各种漏洞,如DVWA、sqli-labs、Mutillidae等等

研究OWASP TOP10 的原理,如SQL 注入原理,手动注入,自动注入,盲注等等

学习Windows/Linux 系统提权的方法

网上多找相关视频书籍观看学习。

 

关注安全圈动态

在主流的博客、技术平台浏览每日的安全技术文章、事件

养成良好的写博客习惯,复现一些漏洞

多关注最新的漏洞列表,如CVE中文库等等

多关注圈内大牛的技术博客

 

源码审计与漏洞分析

能够独立分析脚本源码并发现安全问题

熟悉代码审计的动态和静态的方法,学会如何去分析程序

研究Web 漏洞形成的原理,并从源码层面上避免该类漏洞

 

安全体系设计与开发

能够建立自己的安全体系

开发一些实用的安全小工具


参考文献:

hackerjie :https://www.sec-wiki.com/skill/2

你可能感兴趣的:(渗透测试)