web渗透--0--写在开始

记得最开始学习安全渗透的时候,啊D、明小子虽然已经日薄西山,但还是有很多人在用,不得不说它真的很好用,不过到了现在随着各种安全理念融入代码层,这些自动化工具都已经没有用武之地了。回顾博主的渗透学习历程,由于一直是一个人在摸石头过河,也是走了很多弯路。从自学完基础课程之后,先是捣鼓了几个月逆向,又捣鼓了几个月python,后来会用扫描器后开始用扫描器撸SQL注入,基本都是傻瓜式的一把梭,再后来觉得这样除了装装逼并没有什么长进,于是开始学习SQL注入原理,由于没有做笔记习惯,那么厚一本书,基本看了后面的,就忘了前面的。后来又开始自己搞个靶机,用burp做手工注入…………,反正快两年过去了还一事无成,眼看渗透这条路行不通,果断转了移动安全。

后来工作后接触的就多了,技术水平和认知也得到飞速成长,各种渗透工作都是手到擒来的事,什么胡萝卜、SQLMAP、扫描器早就被抛弃了,清一色使用burp手工渗透各种漏洞,比以前那种low到爆的方式不知道高级了多少倍。现在站在更高的角度看待走过的路,真的觉得以前走的全是弯路,浪费了那么多时间,虽然走弯路是每个人学习过程中不可避免的。

其实对于安全渗透来说,最核心的东西只有两个,一个是知识面,主要是对各种漏洞的原理层理解,另一个是思维发散,但思维是否发散,其实是有知识面作为支撑的。那说白了对于安全渗透,最重要的就是知识面。除此外用什么系统、搭什么环境、用什么工具、装什么逼,这些都是表象,就算你不会,你在一周之内全部学会完全没有问题,所以它并没有太大的研究价值。

基于现在更高层面的认知,于是我写了本专栏,本专栏只讲解最核心最本质的安全渗透理论,主要介绍各种通用安全漏洞知识。本专栏内容不是入门级,不会涉及xxx工具如何使用、xxx环境如何搭建等基础内容。

你可能感兴趣的:(web渗透)