目录
相关网站推荐
WEB(应用)安全
学习路线
推荐
书籍
网站
在线靶场
基础
XSS攻击
CSRF漏洞
劫持攻击
点击劫持
SSRF漏洞
文件包含漏洞
文件上传漏洞
XXE漏洞
WebShell
解析安全
RCE漏洞
SQL注入漏洞
反序列化漏洞
条件竞争
通信安全
应用层
传输层
网络层
身份认证与访问控制
弱口令爆破
渗透测试
学习路线
基础知识
推荐
书籍
练习靶场
信息收集
漏洞扫描
渗透攻击
现代密码学
CTF
项目推荐
比赛推荐
模糊测试
AFL
文件模糊测试
插桩
java插桩
---------------------2021102更新找工作篇---------------------
秋招结束,面经就放在前面了
阿里云安全面经,已收到意向书(回馈牛客)https://www.nowcoder.com/discuss/642461
https://www.nowcoder.com/discuss/642461
---------------------20211102更新完毕---------------------
相关网站推荐
博主研究方向为安全领域,以后可能更多的在圈子内发表文章,提高文章质量。
1、FreeBuf
国内关注度最高的全球互联网安全媒体平台,爱好者们交流与分享安全技术的社区,网络安全行业门户。
个人账户:ladykiller9
2、看雪
看雪论坛是个软件安全技术交流场所,为安全技术爱好者提供一个技术交流平台和资源。
个人主页:lady_killer9
3、吾爱破解
吾爱破解论坛是致力于软件安全与病毒分析的非营利性技术论坛。
4、阿里云先知社区
一个开放型技术平台。
个人主页:ladykiller9
各种CVE,漏洞。
6、SecWiki
安全维基,各种安全资讯。
WEB(应用)安全
学习路线
WEB安全学习路线
想法:分别学习各个模块,搭建靶机进行练习,做CTF中的WEB安全题,然后再看懂后台代码,为什么会有漏洞,接下来复现一些CVE制作成镜像给看雪等CTF比赛官方,最后学习metasploit等软件,以宏观的角度,从情报搜集开始到漏洞利用做整个渗透报告,最后将靶机的漏洞危险程度由low->impossible(感觉并没有那么多时间…慢慢来吧)。和我一起来学习WEB安全吧!!!
推荐
书籍
入门
- 《白帽子讲Web安全》 2012
- 《Web安全深度剖析》2015
- 《Web安全攻防 渗透测试实战指南》2018
进阶
- 《WEB之困-现代WEB应用安全指南》 2013
- 《内网安全攻防渗透测试安全指南》 2020
- 《Metasploit渗透测试魔鬼训练营》2013
- 《SQL注入攻击与防御》2010
- 《黑客攻防技术宝典-Web实战篇(第2版)》
网站
接下来开始学习,理论并非纯理论,也有靶机攻击举例,实战一般使用离线或线上靶机。
在线靶场
基础
web安全必备:
学xss注入时再看也可:
学sql注入时再看也可:
漏洞排行:
XSS攻击
----------------------------------理论----------------------------------
---------------------------------实战-----------------------------------
靶机:dvwa
网络安全-靶机dvwa之XSS注入Low到High详解(含代码分析)
靶机:pikachu
网络安全-靶机pikachu之xss注入与代码分析(XSStrike实战)
靶机:xssplatform
CSRF漏洞
----------------------------------理论与实战----------------------------------
劫持攻击
点击劫持
----------------------------------理论----------------------------------
网络安全-点击劫持(ClickJacking)的原理、攻击及防御
SSRF漏洞
-----------------------------理论及实战--------------------------------
文件包含漏洞
-----------------------------理论及实战--------------------------------
文件上传漏洞
-----------------------------理论及实战--------------------------------
XXE漏洞
-----------------------------理论及实战--------------------------------
WebShell
解析安全
RCE漏洞
----------------------------------理论----------------------------------
SQL注入漏洞
----------------------------------理论----------------------------------
---------------------------------实战-----------------------------------
靶机:dvwa
网络安全-靶机dvwa之sql注入Low到High详解(含代码分析)
靶机:sqlilabs
Less2差不多,整型参数错误,sql语句为 SELECT * FROM users WHERE id=$id LIMIT 0,1
反序列化漏洞
----------------------------------理论与实战--------------------------------------
条件竞争
通信安全
----------------------------------理论与实战--------------------------------------
应用层
网络-https协议学习笔记(SSL、TLS、CA、抓包与修改)
网络-Telnet协议与SSH协议(命令、免密登录)及其安全性
传输层
网络层
网络-IP协议详解(报文格式、分类、NAT、子网、CIDR、抓包分析)
-----------------------------------实战-------------------------------------
身份认证与访问控制
弱口令爆破
----------------------------------理论----------------------------------
渗透测试
学习路线
学习路线
时间关系,仅关注渗透测试基础与WEB渗透相关的内容。
基础知识
kali
渗透测试-Kali Linux学习(Linux基础、Shell编程、渗透测试软件)
推荐
书籍
《Metasploit渗透测试魔鬼训练营》
《Metasploit渗透测试指南》
《KALI渗透测试技术实战》
练习靶场
信息收集
漏洞扫描
OpenVAS的安装、使用及实战(GVM,Metasploit使用)
渗透攻击
《MetaSploit渗透测试魔鬼训练营》之WEB应用渗透技术
现代密码学
没想到半年了,文章更新到这么长了,思维导图就不放在这个里面了,放在下面概论里面了
基本知识
传统密码
对称密码
非对称密码
哈希函数与消息认证
数字签名
公钥管理
数字帧数
CTF
项目推荐
比赛推荐
全国大学生信息安全竞赛
["强网杯"全国网络安全挑战赛](https://www.qiangwangbei.com/ "“强网杯"全国网络安全挑战赛”)
模糊测试
Fuzzing大合集
-包含fuzz书籍、课程、开源软件等
AFL
文件模糊测试
插桩
java插桩
喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。
标签:网络安全,实战,渗透,安全,----------------------------------,笔记,漏洞,自学 From: https://blog.csdn.net/2401_89191053/article/details/144069597