今天是2024年7月5日,我已经快30的人了,今日重拾电脑,开始学习web安全;这个想法想了很久了,什么时候开始学习都不算晚。
准备阶段
- 了解网络通信协议和网络知识
- 了解系统Linux,Windows的命令和服务系统
- 了解docker,k8s
- 了解中间件nginx,iis,apach
- 了解html,css,javascapit,xml,php语言
漏洞阶段
- 信息收集:fofa、google语法、端口扫描、cdn绕过、waf绕过
- 简单弱口令、密码爆破、敏感文件扫描
- sql注入漏洞
- 文件上传下载漏洞
- 文件包含漏洞
- xxs漏洞(存储型)
- RCE漏洞
- CSRF漏洞
- SSRF漏洞
- XXE漏洞
- PHP反序列化漏洞
- 远程代码命令执行漏洞
- 业务逻辑漏洞
- 变量覆盖漏洞
工具使用
- 信息资产收集:fofa、namp、ARL灯塔、goby、御剑
- 漏洞扫描工具:xary主动被动扫描工具、AWVS、appsan
- sql注入工具:sqlmap
- 远程连接工具:xshell
- 图片码制作工具:010Editor
- 编解码在线工具
- AIGC:文心一言、豆包、千问
不知道结局怎么样的话,就继续走下去吧!
标签:文件,开始,扫描,网络,学习,漏洞,了解,fofa,工具 From: https://blog.csdn.net/inter231/article/details/140207956