新手学习渗透从哪里开始
发布网友
发布时间:2022-04-22 14:55
共3个回答
热心网友
时间:2022-04-10 00:00
首先要根据自己的实际情况、确定学习的路线和方向的。就像建大楼,从顶端最华丽的那个地方开始,不可能成功。学渗透测试也一样,没选对入手的地方,导致学习过程中由于欠缺很多的知识点、很多概念理解不了、学习举步维艰、很容易半途而废。
现在我来分析下:
渗透测试属于信息安全行业,准确的说是网络计算机/IT行业
知道它行业属性,你大概就能清楚需要些什么样的基础知识了;下面是我从非计算机网络相关专业的同学想要学习渗透测试必须掌握的知识。
1)了解基本的网络知识、什么是IP地址(63.626.11.23)、IP地址的基本概念、IP段划分、什么是A段、B段、C段等
广域网、局域网、相关概念和IP地址划分范围。
2)端口的基本概念?端口的分类?
3)域名的基本概念、什么是URL、了解TCP/IP协议、
5)了解开放式通信系统互联参考模型(OSI)
6)了解http(超文本传输协议)协议概念、工作原理
7)了解WEB的静态页面和WEB动态页面,B/S和C/S结构
8)了解常见的服务器、例如、Windows server2003、Linux、UNIX等
9)了解常见的数据库、MySQL、Mssql、、Access、Oracle、db2等
10)了解基本的网络架构、例如:Linux + Apache + MySQL + php
11)了解基本的Html语言,就是打开网页后,在查看源码里面的Html语言
12)了解一种基本的脚本语言、例如PHP或者asp,jsp,cgi等
然后你想学习入门,需要学习以下最基础的知识:
1、开始入门学习路线
1)深入学习一种数据库语言,建议从MySQL数据库或者SQL Server数据库、简单易学且学会了。
其他数据库都差不多会了。
2)开始学习网络安全漏洞知识、SQL注入、XSS跨站脚本漏洞、CSRF、解析漏洞、上传漏洞、命令执行、弱口令、万能密码、文件包含漏洞、本地溢出、远程溢出漏洞等等
3)工具使用的学习、御剑、明小子、啊D、穿山甲(Pangolin)、Sqlmap、burpsuite抓包工具等等
2、Google hacker 语法学习
3、漏洞利用学习、SQL注入、XSS、上传、解析漏洞等
4、漏洞挖掘学习
5、想成为大牛的话、以上都是皮毛中的皮毛,但前提是以上的皮毛都是最基础的。
6、Linux系统命令学习、kali Linux 里面的工具学习、Metesploit学习
7、没事多逛逛安全论坛、看看技术大牛的文章、漏洞分析文章等
8、深入学习一门语言、Java或者Python等等,建议学习从Python开始学习、简单易学,容易上手。我就是从IP地址(63.626.11.23)学起的,IP去掉点就是扣扣学习群,视频资料非常全面、里面各类渗透工具都有。注入的、扫描的、爆破的、等等。
9、如果你很懒的话,不想去找这些资料、还不想花大把钱去报培训班,给你推荐个扣扣群IP去点就是。里面有很多入门视频资料和很全面各种技术大牛笔记资料、分析文章、后期内网渗透资料等等。
10、提升自己的专业能力、把自己练成一个技术大牛、能给你带来一份稳定的高薪水工作,同时你还可利用自己的技术,额外的接些单子,做做副业,这个行业里是有很多单子可以接的。
如果你在提升自己上面连5块钱都舍不得投资,那我真的不知道你的未来在哪里。
热心网友
时间:2022-04-10 01:18
当然是先从潜伏开始。。。打入敌人内部。执行任务。。。
热心网友
时间:2022-04-10 02:53
综合了几家用人单位的需求后, 总结如下四点:
(1) 基本素质
对这个行业还是有较高的热情,有一定的自学能力,有团队意识,能够服从领导安排;
(2) 基本技术要求
对Web常见十余种漏洞的原理、利用、防御等要求熟练掌握;
熟悉内网渗透的技术,能够做横向移动渗透;
熟练运用常见的工具,如AWVS,Appscan,Burp等;
熟悉至少一门语言,可以写POC或者EXP;
(3) 实战要求
一般要求有1-3年的经验要求;
有提交过SRC或者真实网站渗透经验优先;
有绕过WAF经验要求;
有些要求有逆向和二进制分析经验;
(4) 技术亮点
有参加CTF得奖者优先,有考取相关证书者优先,提交SRC者优先;
从以上用人单位需求来看,需要掌握常见web漏洞的原理、利用和防御、内网渗透,能够利用语言写POC、EXP;能够掌握常见WAF的绕过方法,最好有真实站点渗透测试的经验,考取行业内的相关证书,所有都是围绕要求有实战经验;
所以根据自身要求,可以先打好基础,多练习靶场,然后去SRC平台进行真实演练,同时也考取行业内相关证书,如果有机会可以去一家安全公司实习;后续进入大点的安全公司应聘安全岗位都基本没什么问题。
