【网络安全】学习路线
Web 安全学习
1、红日安全HTB靶场
此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。
学习地址:https://github.com/hongriSec/Web-Security-Attack
2、 SQLI-Labs
专注于 sql 注入研究的靶场,共计 65 关,包含各种注入场景,解析过程网上很多,项目地址:
https://github.com/Audi-1/sqli-labs
3、 Upload-Lab
upload-labs 是一个使用 php 语言编写的,专门收集渗透测试和 CTF 中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。项目地址:
https://github.com/c0ny1/upload-labs
靶机包含的漏洞类型分类:
4、 XSS-LABS
针对 xss 漏洞的专项训练靶场,一共 20 关,涉及的知识点包括:
https://github.com/do0dl3/xss-labs
5、 SSRF-LAB
SSRF-LABS 有一个好看又简洁的界面,提供了最基本的 REST API 和客户端 WebHook 功能用于 SSRF 测试。项目地址:
https://github.com/m6a-UdS/ssrf-lab/
以此衍生出的新的靶场,基于实际环境的云基础设施攻击靶场 DVCA,项目地址:
https://github.com/m6a-UdS/dvca
项目以 AWS 为目标云,通过 SSRF 漏洞获得云基础设施的管理员权限。
6、 综合漏洞靶场 pikachu
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
项目地址:
https://github.com/zhuifengshaonianhanlu/pikachu
7、 综合漏洞靶场 DVWA
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助 web 开发者更好的理解 web 应用安全防范的过程。项目地址:
https://github.com/digininja/DVWA
8、 DVWA 的衍生品 DVWA-WooYun
DVWA-WooYun 是基于 wooyun 历史真实漏洞而设计的漏洞靶场, 项目地址:
https://github.com/lxj616/DVWA-WooYun
9、 综合漏洞靶场 WebGoat
WebGoat 是一个由 OWASP 维护的 Web 应用程序靶场环境,旨在帮助大家学习 web 应用程序的漏洞原理及测试方法。
项目地址:
https://github.com/WebGoat/WebGoat
该项目使用 java 语言开发,涉及漏洞包括 OWASP Top10,参考文档:
https://owasp.org/www-project-webgoat/
10、 漏洞复现靶场 Vulhub
Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。项目地址:
https://vulhub.org/
使用文档:
https://vulhub.org/#/docs/
当前涉及漏洞环境 200 个,Github 项目地址:
https://github.com/vulhub/vulhub
渗透测试
11、VulnHub
Vulnhub 它是一个提供各种漏洞环境的平台,里面大部分的环境是要用 VMware 或者 VirtualBox 打开运行的。目前该项目已累计设计开发 700+ 靶场,官方网站:
https://www.vulnhub.com/
参考文献:
https://mp.weixin.qq.com/s/J92KgpkYv4EFSc0KIxAqqw(作者:信安之路 myh0st)https://mp.weixin.qq.com/s/w8owTlsi4VrzvISq46kdRAhttps://mp.weixin.qq.com/s/vKyryRrVxcf9e2uBv3yhRA
12、 vulnstack
红蓝对抗,内网、域渗透最新靶场:地址:http://vulnstack.qiyuanxuetang.net/vuln/
下载靶机,导入虚拟机即可开始
