A. web渗透,内网渗透,网站渗透该先学什么(完全小白)
学习的优先级
在探索web渗透、内网渗透、网站渗透的学习路径时,建议遵循以下顺序以确保基础稳固并逐步提升技能。
第一阶段:web渗透学习基础
时间:约1-2周
了解基本概念:包括SQL注入、XSS、上传漏洞、CSRF攻击、一句话木马等,通过网络资源如Google搜索获取资料,为后续web渗透测试打下基础。
研究案例思路,了解不同站点的渗透技巧和策略。
学会提问,遇到问题时主动寻求解决方案。
配置渗透环境
时间:约3-4周
渗透实战操作
时间:约6周
搜索实战案例,深入学习SQL注入、文件上传、解析漏洞等在实际场景中的应用。
搭建漏洞环境进行测试,如DWVA、SQLi-labs、Upload-labs、bWAPP等。
了解PTES渗透测试执行标准,明确每个阶段的渗透动作。
深入研究手工SQL注入技巧,学习绕过WAF的方法,制作自己的脚本。
研究文件上传原理,包括截断、双重后缀欺骗、解析漏洞利用等,并参考相关框架。
学习XSS形成原理和类型,实践于DWVA中,使用含有XSS漏洞的CMS,如安装安全狗等进行测试。
了解一句话木马并尝试编写。
研究在Windows和Linux下的权限提升方法。
经常访问网络安全相关网站
时间:长期
浏览Freebuf、i春秋、安全客、安全类微信公众号等,获取有价值的文章并整理到个人博客中。
熟悉Windows & Kali Linux系统
时间:约2-4周
学习Windows命令,如ipconfig、nslookup等,并了解Linux命令,如wget、mv等。
熟悉Kali Linux系统下的常用工具。
学习服务器安全配置
时间:约4周左右
了解iis配置和目录权限管理(如iis写权限),在Windows下建立简单站点。
学习Linux权限配置、跨目录和文件夹权限管理,建立Linux Web服务器并创建站点。
使用自动化工具扫描站点,利用Google修补漏洞。
学习打补丁、iptables端口限制等安全措施。
安装和使用WAF软件。
学习编程知识
时间:约8周
在w3cschool学习HTML、PHP和数据库基础,掌握每种技术的前8节内容。
学习Python(或其他语言),重点包括爬虫、多线程、文件操作、正则表达式等,并熟悉常用第三方库。
使用Python编写简单POC或EXP。
开发渗透时用到的程序,如端口扫描工具。
选择一个PHP框架进行学习,深入理解即可。
学习代码审计
时间:约4-6周
学习静态和动态代码审计方法,掌握程序分析技巧。
研究开源漏洞程序,学习代码分析方法,并尝试分析3-5次代码。
了解web漏洞形成原因,熟悉常见漏洞函数。
安全体系开发
时间:长期
开发安全工具并开源,展示个人实力。
建立独立的安全体系,拥有独到的思路和方法。
第二阶段:网站渗透
深入学习亮神分享的内容,获取网站渗透的实战经验和技巧。
第三阶段:内网渗透
探索内网渗透的自学路线指南,从基础、进阶到高阶,逐步提升内网渗透技能。
B. 网络渗透是什么意思,怎么学习,本人0基础
只要是人写的代码就有漏洞,没有不存在漏洞的系统,只有没有发现漏洞的系统。回这答个行业目前是形势很好,算是朝阳产业了。这对于网络安全行业的学习者和从业者都是一个好事,安全是被冷落了很多年,现在可以算是开始繁荣的阶段。这个领域现在人才缺口非常大,未来会更大。所以如果有志于从事这个领域的年轻人,扎实打好技术基础,有意识的提高学识学历,这个领域未来一定是高素质和高技术人才的天下,并且是科技主宰,核心技术至上。
零基础学习是没有问题的