當(dāng)前位置:首頁 >  站長 >  建站經(jīng)驗(yàn) >  正文

網(wǎng)站APP滲透測試技術(shù)如何快速學(xué)習(xí)

 2020-11-25 10:16  來源: A5用戶投稿   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

對(duì)新知識(shí)的學(xué)習(xí),應(yīng)該明確三點(diǎn):學(xué)些什么?怎樣去學(xué)?三是及時(shí)復(fù)習(xí)。本文以這三點(diǎn)為基礎(chǔ),圍繞信息安全學(xué)習(xí)過程展開論述。大型目標(biāo)點(diǎn),在新知識(shí)的學(xué)習(xí)中,明確學(xué)習(xí)目標(biāo)是第一件要做的事,有目標(biāo)才知道自己該往哪里走。但是對(duì)新人來說,在無人指導(dǎo)的情況下,明確目標(biāo)這一步會(huì)比較迷茫,所以個(gè)人建議如下:

根據(jù)OWASPTOP10文件中所總結(jié)的漏洞類型來設(shè)定目標(biāo)。但其中一些項(xiàng)目還比較雜糅需要在這一點(diǎn)上繼續(xù)分化下去,分化的問題放在下一部分來解釋,二是培訓(xùn)機(jī)構(gòu)的白嫖課程大綱。這一點(diǎn),我也是在看別人分享學(xué)習(xí)經(jīng)驗(yàn)的時(shí)候得到的,原則上,我不推薦培訓(xùn)機(jī)構(gòu)的教學(xué)大綱對(duì)于幫助快速確定學(xué)習(xí)目標(biāo),無論是在線還是線下的培訓(xùn)機(jī)構(gòu)在詢問有什么課程時(shí),都毫不忌諱。三是網(wǎng)上導(dǎo)讀文章學(xué)習(xí)。網(wǎng)上的大部分入門文章都是因?yàn)橥扑]書中有細(xì)分知識(shí)點(diǎn),所以文章中沒有明確的要學(xué)習(xí)的點(diǎn)。所以這篇文章對(duì)于目標(biāo)的初步確立并不重要,但一定要參考文章里面推薦的書籍來幫助自己建立目標(biāo)。

小小的知識(shí)點(diǎn)

了解了應(yīng)該學(xué)的知識(shí)點(diǎn)后,那么針對(duì)這些知識(shí)點(diǎn)又應(yīng)該從哪個(gè)方面入手呢?這些經(jīng)驗(yàn)都是我在良哥學(xué)習(xí)時(shí)總結(jié)下來的。共有三個(gè)要點(diǎn):一、造成漏洞的原因?如何利用這些漏洞呢?三、如何防范這些漏洞?在原則上——利用——補(bǔ)習(xí)這三個(gè)方面進(jìn)行學(xué)習(xí)。

如何學(xué)習(xí)?老問題了,標(biāo)準(zhǔn)答案當(dāng)然是對(duì)搜索引擎的好。搜索漏洞的原理、利用方式、如何防御以獲取詳細(xì)的知識(shí)內(nèi)容,優(yōu)秀的社區(qū)如T00ls、先知又或freebuf、安全客等門戶網(wǎng)站都有很好的文章。問題解決后,知識(shí)內(nèi)容就成為實(shí)踐的東西,但是對(duì)于初學(xué)者來說,環(huán)境總是最難解決的問題。有人建議,可以首先在Windows虛擬機(jī)上利用phpstudy,然后結(jié)合綜合的基礎(chǔ)漏洞平臺(tái)dvwa來學(xué)習(xí)。一方面是因?yàn)榄h(huán)境搭建簡單,不容易在環(huán)境搭建這方面碰壁,另一方面是因?yàn)榄h(huán)境搭建的漏洞非常基礎(chǔ),所以能有效的看出成功,進(jìn)而保持學(xué)習(xí)的興趣。但隨后一定要再次手工搭建linux系統(tǒng)下的環(huán)境,以加深自己對(duì)網(wǎng)站架構(gòu)的理解,知道組成Web應(yīng)用程序的那些部分。這可以幫助自己了解出各種漏洞出現(xiàn)問題的地方。當(dāng)綜合漏洞學(xué)習(xí)完成后就是專項(xiàng)漏洞的學(xué)習(xí),綜合漏洞畢竟還是比較基礎(chǔ)的,要對(duì)所學(xué)知識(shí)點(diǎn)進(jìn)行更深入的練習(xí)需要更具體的環(huán)境,靶場推薦.

而在這些漏洞的學(xué)習(xí)中,則需要相應(yīng)地加強(qiáng)基礎(chǔ)知識(shí),比如編程語言的學(xué)習(xí),各種協(xié)議的學(xué)習(xí)等等?;局R(shí)和完成漏洞的學(xué)習(xí)后,就可以考慮嘗試在實(shí)際場景中測試或在CTF中鍛煉自己。由于自身也在這個(gè)階段,所以不能為這些內(nèi)容提供有效的幫助。真實(shí)的漏洞挖掘在學(xué)習(xí)CTF中的同時(shí),關(guān)注一些最新的漏洞動(dòng)態(tài)或者大佬們關(guān)于漏洞的研究文章,積極動(dòng)手,重新學(xué)習(xí)相關(guān)的漏洞。這個(gè)學(xué)習(xí)的東西會(huì)很雜,所以我們要把學(xué)習(xí)的內(nèi)容分類,這樣才能對(duì)自己的知識(shí)有一個(gè)結(jié)構(gòu)化的了解,知道自己的不足之處,方便自己查漏補(bǔ)缺。

其實(shí)在這個(gè)方面沒有什么特別的辦法,只有靠自己堅(jiān)持。但是如果看了自己的文章覺得比較慚愧,或者不能靜心的話,可以記下自己每次查閱資料的地址,對(duì)這些資料的內(nèi)容再學(xué)習(xí)。也希望在安定了生活狀態(tài)后,自己可以多花點(diǎn)時(shí)間來總結(jié)和分享。如果想要對(duì)自己網(wǎng)站或APP進(jìn)行滲透測試的話可以去看看SINESAFE,鷹盾安全,啟明星辰,綠盟等等這些安全公司來處理。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
滲透測試

相關(guān)文章

  • 網(wǎng)站做漏洞滲透測試服務(wù)的重要性

    現(xiàn)實(shí)生活中小企業(yè)面對(duì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)多種多樣。而真正的隱患,是公司覺得自己自身非常安全,卻不知道隱患早就滲透到里面,見機(jī)行事。隨著安全產(chǎn)業(yè)的發(fā)展和技術(shù)人員安全防范意識(shí)的提升

  • 網(wǎng)站安全防護(hù)滲透測試常見的攻擊方法

    國內(nèi)對(duì)滲透測試以及安全評(píng)估的研究起步較晚,并且大多集中在在滲透測試技術(shù)上的研究,安全評(píng)估方面也有部分企業(yè)和研宄團(tuán)體具有系統(tǒng)的評(píng)估方式。然而國內(nèi)對(duì)基于滲透測試的自動(dòng)化集成系統(tǒng)研宄還非常少

  • 網(wǎng)站安全防護(hù)之常見漏洞有哪些

    文件包含漏洞。文件包含函數(shù)中包含的文件參數(shù)沒有過濾或嚴(yán)格定義,參數(shù)可以由用戶控制,可能包含意外文件。如果文件中存在惡意代碼,無論文件是什么后綴類型,文件中的惡意代碼都會(huì)被解析執(zhí)行,導(dǎo)致文件包含漏洞。

  • 網(wǎng)站滲透測試漏掃工具的另類用法

    對(duì)于第三方插件,我們?cè)诮y(tǒng)一調(diào)度機(jī)制和庫文件上花了不少功夫,還有一個(gè)關(guān)鍵點(diǎn)就是轉(zhuǎn)換庫的格式。在各種插件的上報(bào)過程中,我們會(huì)盡量為第三方插件掛接數(shù)據(jù)上報(bào)層,統(tǒng)一格式后上報(bào)。但是,并不是每種插件都有一個(gè)統(tǒng)一的將記錄放入庫中的過程,可能需要為這種插件重寫函數(shù)。目前我們的插件都是點(diǎn)擊式的。為了符合法律法規(guī)層面

    標(biāo)簽:
    滲透測試
  • 黑客角度滲透測試與社會(huì)工程學(xué)利用

    如何掌握社會(huì)工程學(xué)?社會(huì)工程學(xué)涉及人性的利與弊。想要熟練掌握社會(huì)工程學(xué),需要各種相關(guān)知識(shí),比如心理學(xué)、密碼學(xué)、邏輯學(xué)等。,而且你還必須讀一些其他的相關(guān)書籍,比如卡耐基的《人性的弱點(diǎn)》,克里斯托弗·哈德納吉的《社會(huì)工程學(xué)——人類在安全系統(tǒng)中的脆弱性》等。此外,我們必須有意識(shí)地培養(yǎng)自己的同理心能力,這在

    標(biāo)簽:
    滲透測試

熱門排行

信息推薦