Web 渗透测试入坑必备指南

作者/分享人:肖志华
ID:rNma0y,信安自学,白帽子。撞过很多坑,跌撞复前行。研究方向web安全,反黑产。熟悉Web安全攻击及防御技术,现惊龙安全团队负责人(诚寻Web安全方向的朋友一同发展,有兴趣可带上简历与我联系或者发送邮件至:web@secus.org)

本场 Chat 我会详细介绍 web 安全的入坑指南以及必备技能的学习和一些实际思路。 面向基础群众,以下内容微有技术门槛。想做一个帅气的黑客请预订,企业安全自检也请预订。

  1. 小白如何快速入门(基本介绍初学知识)
  2. 常见 web 渗透测试工具使用(Nmap、Burpsuite、AppScan、WVS、Safe3、SQLmap) (比如: Nmap 端口扫描、Burpsuite 抓包改包爆破等模块功能、Appscan 的扫描、WVS 的扫描、Safe3 的扫描、SQLmap 的使用)
  3. OWASP Top 10 风险
  4. 白帽子的测试是否合法,边界在哪里?
  5. 个人书单推荐
  6. 我挖到了洞该怎么办?
  7. 练手靶机(真实环境和本地环境搭建)

内容可能会和实际情况有所出入。

已有257人预订
预订达标
文章出炉
交流日期
     
10月21日
11月03日
11月11日 20:30
查看文章评论/提问
肖志华
因为体系问题,不可能费神耗时一一去把漏洞讲完,所以本文章也旨在了解并学会使用工具,有了1+1=2之后再自行理解为什么1+1等于2。有疑问可以私信我。
Wday: 一直想要一个有关于burp的爆破字典。百度不知道如何去辨别实用性。QQ969100360
肖志华: 所用为弱口令top500,百度有下载
Wday
Torjan-DukeZ
果然很简单
你将相思赋予谁
如何入门
膜法师
这个技术对于编程技术有要求么?我只懂c和一点汇编,正打算学html/css和js
英杰: html css js必须懂。还有一点数据库和后端语言知识(php .net java 自己选) 计算机网络的基础知识。 差不多就这些。
   
内容太简单了,介绍了一部分工具,让人对这个东西有一个认识是够了,但是入门还差了很多。建议写点实操的,因为现在web安全也涉及得很广泛了,从网站到服务器,从虚拟到工控,web安全类的资料和教程网上太多了,早就泛滥了,缺的是实操的东西,比如渗透思想,入侵过程,怎么去不断尝试突破防御的,比如xss的过滤,SQL注入的绕过,甚至从getshell到内网渗透,种马留后门等等,这些实操的东西如果能有一套的话,我相信会很多人喜欢
肖志华: 建议收到 正在补充中
你可能还喜欢
Service Mesh 在华为公有云的实践
田晓亮
从零开始,搭建 AI 音箱 Alexa 语音服务
Mike
Web 安全恩仇录:再谈逻辑漏洞
肖志华
编程和数学基础不佳如何入门人工智能?
赵宁|Neal
如何用 Vue 实现前端权限控制(路由权限 + 视图权限 + 请求权限)
雅X共赏
智能增长:如何用大数据和人工智能实现业务体量的增长
蒋凡
微信扫描登录