安全日记—零基础开始学安全（2）

今日学习的内容：

1. web渗透测试常规套路。 渗透常规思路：目录扫描——发现疑似后台——SQL注入——获取账密——MD5解密——登录后台——获得webshell；整体看下来，基本能理解，但需要找个靶场实操训练下；
2.改机的基本知识。改机的原理：通过劫持系统函数，伪造模拟移动端设备的设备信息（包括型号、串码、IMEI、定位、MAC地址、无线名称、手机号等），能够欺骗厂商在设备指纹维度的检测。改机工具会从系统层面劫持获取设备基本信息的接口，厂商app只能得到伪造的假数据。这个知识学到有点晚，之前就遇到过真实案例。通过XPOSE改机，然后劫持唤起摄像头调取的函数，用预先做好的视频或者照片替换摄像头，进而在直播和人脸识别环节进行利用。为什么学习这个，主要是看到了，而且之前还遇到，也算是安全的业务范围吧；
3. 学习点markdown的进阶知识。首先自然是字体、颜色什么的，具体内容附到最后，供后面引用吧。不过不得不承认，markdown真的是个好东西，一定要用好；
4. 0day基本常识。经常听到人家说0DAY，因为一直觉得专业的人做专业的事，也就没有了解过，今天开始详细了解了以下，算是扫盲吧。0day泛指所有在官方发布该作品之前或者当天，这主要涵盖了影视、软件、游戏、音乐、资料等方面，由一些特别小组以一定的格式打包发布的数码内容。难怪有些人总是盯着国外那些网站，估计就是赚这个时间差吧；
5. 通讯的一些知识。主要是在XX课堂看视频，能够让自己对网络基本知识增进一些了解。

今日感想

    CS上各类基础知识倒是不少，不过好像都比较久远了，大都是17-19年的资料，比较新的好像不是很多，好在是基础知识，影响不大。还有就是目前自己的学习不成体系，基本上是遇到哪学到哪，没有一个循序渐进的过程，基本上都是，遇到什么不懂的，就去查一波资料，然后学习，再继续回到原有的学习进程上。入门先这样吧，等后面差不多的时候（希望1-2个月能完成），应该找个牛人拜个师了。