百科问答小站 logo
百科问答小站 font logo



想学web渗透,没有语言基础,没有网络基础,怎么才能入门? 第1页

  

user avatar   zhu-wang-xiao-miao-o 网友的相关建议: 
      

首先推荐一下知道创宇的研发技能表,可以查查web安全需要掌握的技能:

其次推荐几本书:

  • 黑客攻防技术宝典(Web实战篇)
  • 白帽子讲Web安全
  • Web安全之机器学习入门
  • Web安全之深度学习实战

建议边阅读上面的资料,边配合来做一些实战攻击

去搭个DVWA靶场平台,DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞,然后可以在上面练习一下基本的web安全攻击。

或者去搭个OWASP平台

这些都是简单配置后就可以使用的,包含了很多常见的web漏洞,将各种不同业务环境下的漏洞,抽象出来总结成一个集成靶场,使用起来也很方便,并且每个漏洞页面都可以查看目前的源码。

靶场下面的可测试漏洞包括:暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站脚本攻击(XSS Reflected)、存储型跨站脚本攻击(XSS Stored)

难度分别为:Low、Medium、High、Impossible

在实战的过程中,你肯定会遇到很多不懂的地方,比如sql注入你没有语言基础的话就需要了解下sql语法,类似要学习的地方还有很多。

在完成上面四种难度的全部测试之后,我想这样应该算是入门了。

之后,你练习和阅读了这么多内容,想必也应该会有自己的想法和侧重,接下来就可以去深入了解和关注某一方面的内容了。

最后,附一份渗透测试资源大全:




  

相关话题

  人工智能已在哪些领域超越了人类的表现? 
  360 作了哪些恶? 
  海底国际光缆的位置是不是国家机密? 
  如何快速地想出一个很难猜但是很好记的包含数字字母和符号的密码?邮箱账号除外 
  如何看待国内一些互联网企业因为有墙而强大? 
  电脑病毒能破坏硬件吗? 
  国内网络安全行业人才何时饱和,这个行业还有几年的热度? 
  如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书? 
  网络安全是不是包含了很多板块? 
  为什么以色列的网络安全,存储方面这么有竞争力? 

前一个讨论
你为什么独一无二?
下一个讨论
量化比较人类历史上的各项成就,哪个国家对人类文明进步产生了最大影响?





© 2025-04-07 - tinynew.org. All Rights Reserved.
© 2025-04-07 - tinynew.org. 保留所有权利