【安全测试工程师】超实用的Web渗透测试学习路线～

前言

本文整理的学习路线，清晰明了，重点分明，能快速上手实践，相信想学的同学们都能轻松学完。都是干货啦，先收藏⭐再看吧。本文偏基础能让萌新们快速摸到***测试的门道，少走弯路，也能让正在学习的小伙伴们查漏补缺，也欢迎大佬们在评论区指正错误~

---

先上脑图

其实安全测试需要的知识面是非常广的，但跟着教程有重点地学习还是能很快理清思路上手测试的，后续可以自己深入研究，吃透这些领域的知识。

首先我们要了解什么是***测试。

我们知道业务功能、逻辑的测试有黑盒测试和白盒测试，前者把程序看作一个不能打开的黑盒子，在完全不考虑程序内部结构和内部特性的情况下，在程序接口进行测试，主要测试程序前台展示的功能。后者通过检查软件内部的逻辑结构，对软件中的逻辑路径进行覆盖测试，主要用于检测软件编码过程中的错误。

在软件安全测试方面，***测试类似于黑盒测试，通过模拟***的进攻非法，来测试软件是否存在安全漏洞。此外代码审计类似于白盒测试，用于检查源代码中的安全缺陷。因为保证软件的安全质量需要贯穿软件的整个研发周期，进入安全行业后，大家会发现还有很多其他机制的，但这都不在本篇讨论范围，大家只需知道，***测试只是最后的安全质量验收阶段。

软件根据运行使用场景分为很多种，PC桌面端软件、手机APP软件以及浏览器使用的Web软件等。本文讨论的就是Web软件的***测试。

本文分为基础知识、工具使用、基本漏洞和实践四部分，可以依照这个顺序学习，也可以灵活食用。推荐掌握基础知识后，上手一下测试工具，然后学一个漏洞，立马实践一下。

最后说一下本文的熟练度：掌握>深入了解>了解。赶紧往下学起来吧！

一、基础知识

要进行Web***测试所需的知识，有重点划分，有些了解一点就行。后续可以深入，当然深入起来每个都可以是一个本科课程。

1.1 信息安全（了解）

学习信息安全是为了培养安全意识，做***测试心中当然要有个标准，知道什么是安全的什么是不安全的，一些漏洞的评判标准并不是固定的，出现复杂情况就需要我们自己判断。

这个课程比较小众，可以去慕课网看看，一般看《信息安全概论》即可

https://www.icourse163.org/search.htm?search=%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8#/

这个课程可以在学习计划中排到较低的优先级，都是入门的，可以算视野拓展了，实际作用不大。可以了解信息安全的几个要素、***进攻流程、访问控制模型、信息安全的其他模型和行业标准。

1.2 密码学（深入了解）

这个其实也是信息安全中的内容，但是内容较多有时可能会单独拿出来。

密码学有助于我们理解ssl、https、web应用中的密码加密传输环节。

要掌握的内容有：

哈希算法的定义，哈希算法的暴力破解、字典破解和彩虹表。

对称加密和非对称加密

具体算法我们不要求掌握，单要熟记理解各种加密的加密过程、优缺点、应用场景等。

除了去找系统的课程，我给大家推荐一个科普视频，有助于快速了解。

信息传输中的安全隐患

对称加密/非对称加密/混合加密

哈希函数/消息认证码/重放进攻

数字签名/防事后否认/中间人进攻

数字证书/证书链与CA/HTTPS

1.3 计算机网络

计算机网络在web***测试中无疑是最重要的基础，我们抓包、扫描主机开放的其他服务端口等，都是在计网基础之上的。后续小伙伴们想深入学习推荐《计算机网络自顶向下方法》，此书像剥洋葱一样讲解了我们目前使用的网络是如何一层一层封装的，其中除了面试常问的tcp握手等较常见的问题，还有阻塞机制等。

1.3.1 分层模型（了解）

了解tcp/ip五层模型，OSI七层模型。了解哪一层有哪些常用协议，要知道这些协议并不是随意地在理论上分层分类，而是有实际的封装关系的。

1.3.2 IP、TCP协议（掌握）

深入理解ip局域网和公网、tcp套接字、路由器NAT转发等。日后熟练了要能知道局域网IP段、熟悉一些常见的服务端口。

主要是搞懂一些IPv4的机制，为我们日常处理某些问题提供理论支撑。如测试给的环境我们肯定都能访问，但是如果觉得存在某个漏洞，想通过控制服务器回访我们自己的电脑来证明存在漏洞，这时如果服务器在公网，而你在某个局域网则会访问失败。

推荐视频：

【硬件科普】IP地址是什么东西？IPV6和IPV4有什么区别？公网IP和私有IP又是什么？

顺便把DNS也了解一下，后续使用dnslog有用。

【硬件科普】能上QQ但是打不开网页？详解DNS服务，DNS解析，DNS劫持和污染

1.3.3 HTTP协议（掌握）

了解HTTP报文格式、掌握一些常见头属性的作用、了解一些常见的状态码、掌握各种HTTP方法（GET、POST、OPTION、TRACE、PUT、DELETE等）及其参数格式和编码。

https://zhuanlan.zhihu.com/p/70949908

https://www.cnblogs.com/an-wen/p/11180076.html

1.3.4 SSL、HTTPS（深入了解）

我们在发现一些敏感信息明文传输时，会要求使用前端加密或https协议来修复。我们需要了解为什么认定https是安全的。到后面我们开始实践后，还可以返回来思考，为什么我们需要在浏览器导入工具的证书？为什么服务器用了https我们仍可以抓包看到明文？

弄清ssl和https的关系，简单地说https=http+ssl，但是ssl技术也可用于加密其他通信。还要ssl在网络分层模型中在第几层，弄清https中数据封装的顺序，http、tcp、ssl的先后。

资料：【硬核】HTTPS原理全解析

1.4 Web前端（深入了解）

主要是学会一些html和JavaScript，才能测XSS漏洞，css样式我们很少不涉及。

html即超文本标记语言，只需了解它有标签和属性，浏览器会渲染他们使文本呈现一些简单的样式。具体有哪些标签不用去记。

JavaScript是网页的脚本语言，控制着网页的行为，属于动态编程语言，灵活强大。跨站脚本进攻中的脚本指的就是 JavaScript。我们学习JavaScript并不是拿去写前端的，只是用于测试网页是否存在漏洞，侧重点在于搞懂有哪些方式能够触发js代码，也就是花式触发js代码，我们一般用函数alert来证明js被触发。

常见的几点：script标签、所有标签中的事件、部分标签中的src属性和href属性data属性。

现代 JavaScript 教程

1.5 浏览器机制（掌握）

掌握浏览器同源策略、web身份认证

同源策略和cookie共同支撑起了web的身份认证基础。

浏览器的同源策略

一文带你看懂cookie，面试前端不用愁

1.6 SQL

要求学会基本语法即可。主流的数据库有MySQL和Oracle，二者语法有些差别。

推荐先学MySQL，看书即可，推荐《MySQL必知必会》，很薄很小的一本书，很快就能啃完。

至于Oracle，补习一下字符串拼接、对应的sleep函数等，就可以应付sql注入了。

1.7 linux shell

若是碰到命令执行的点，学习一下一句话反弹shell，以及反引号的命令替换，即输出字符串时，把字符串中反引号的部分替换为其执行的结果。当然，最好先用nmap扫描一下确认是Linux机器。

想要上手Linux命令行or运维等，推荐教程：

【狂神说Java】Linux最通俗易懂的教程阿里云真实环境学习

1.8 行业术语

白帽子：一般指正面的***

Payload：有效的进攻代码

Poc：可以说是漏洞验证程序，运行这个程序就可以检测是否存在漏洞。一些验证起来繁琐、步骤多的漏洞，可以写Poc来提高效率。

CVE：英文全称是 “Common Vulnerabilities & Exposures” 通用漏洞披露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

反序列化：可以理解为序列化是指将一个数据结构输出为字符串的过程，反序列化是根据字符串生成数据结构的过程，在Java后端中字符串是json格式，数据结构就指类。

其他一些属于可能字面意思就能理解，如弱口令、弱密码、短信轰炸…

二、工具使用

2.1 BurpSuite

这个是我们***测试的利器，除了强大的抓包、重放功能，还有暴力破解、支持插件等。

burpsuite实战指南

重点是Proxy模块以及证书安装，配置好就能开始抓包了；Repeater模块是重放，很简单；Intruder模块是暴力破解，有时候可能需要字典，但是测试过程中证明暴力破解一般不需要真的去找个几千几万甚至几十万的字典…

笔者只说一个技巧，就是如何排除浏览器自身的包、心跳报文等垃圾信息的干扰。

1. Proxy的Option中勾选最下面的Don’t send items to Proxy history or live tasks, if out of scope
2. Target的Scope中Include in scope中添加一个any，Exclude from scope中添加你的黑名单url，支持正则，也可以在Proxy中选中报文右键Remove from scope添加
3. 保存规则，每次启动时自动加载

2.2 netcat

安全测试中的瑞士军～刀，使用一般是 nc -lvvp

用于接收反弹过来的shell，或是接收http请求。

2.3 dnslog

在[1.2.2 IP、TCP协议（掌握）](### 1.2.2 IP、TCP协议（掌握）)中我们提到，有些情况我们需要一个公网机器来接收被测服务器的请求，如果是简单的http请求等，我们可以使用dnslog

如果是文件包含，远程调用，那只能使用公网主机了。

2.4 sqlmap

新人可以试试，自动检测sql注入的工具。

一般我们都把burp的报文保存到txt里，这样就直接有cookie了，然后在要注入的点打上星号*，sqlmap运行 python sqlmap.py -r %filepath% 即可，其它参数：

https://www.cnblogs.com/insane-Mr-Li/p/10150165.html

一般会追加一些参数来指定成功注入后，干一些什么事，如执行系统命令、列出数据库名等。

2.5 Nmap

主要用于扫描主机开放的不安全的服务，以及判断操作系统类型（当然这个参考就行，不一定准）

安装带图形界面的，扫描时配置选all TCP ports

三、基本漏洞

学习和快速上手业务方面的安全问题，我推荐书籍《Web***指业务安全实战指南》，这本书比之前推荐的必知必会要厚，但其实字数不多，也很好理解，看一遍不会花太多时间，但是能让读者快速入门实践。

再进一步学习推荐《白帽子讲Web安全》

其实大大小小地漏洞很多，甚至每个CVE都能算一个漏洞，但是哪些要覆盖测试，根据自己的情况而定，自己可以列一个测试清单。一些漏洞的测试技巧甚至步骤都是固定的，这里罗列一下，大家自行整理。

• 认证模块、用户系统

  • 信息泄露
  • 暴力破解
  • 认证绕过
  • 登录处注入

• 配置安全 用户系统

  • cookie未设置HttpOnly
  • 开启了不安全的HTTP方法
  • Host头进攻
  • URL跳转

• Session测试

• 用户权限管理

  • 未授权
  • 越权访问

• 信息泄露

• 文件上下载

• CSRF & ***F

• XXE外部实体注入

  • 报文注入
  • 导入文件注入

• SQL注入

• XSS脚本注入

• 服务端命令注入

• 逻辑漏洞

最后再推荐一个项目 owasp top10 ，开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个非营利性组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其top10项目列出了Web前10的漏洞，有兴趣的可以研究研究。

四、实践

学了知识当然要实践检验一番才能加深理解和记忆，但是没有网站测怎么办呢？测公网上运营的网站是不可取的哦。

用于练习的网站我们称之为靶机或靶场，推荐dvwa，一个用php写的web服务，我们下载phpstudy就能搭建

DVWA+Phpstudy靶场平台搭建

搭建好就能自己练习了，可以自己先过一遍。没思路的话可以看教程。lonehand曾写了一系列很好的教程，但是最近都被freebuf下架了，可以看看这里的搬运：

https://www.cnblogs.com/linuxsec/category/912871.html