前言
Web安全渗透:主要是对Web应用程序和相应的软硬件设备配置的安全性进行测试。通过模拟入侵者的手段可以在授权的情况下进行流量攻击、信息收集、文件提取等敏感行为,最终输出测试报告,从而准确修复这一系列漏洞。
主要作用于各个企业网站、业务系统、移动APP、WiFi热点、Docker容器,甚至现在流行的AI机器人都是对象之一。
并且,通过web安全渗透可以更有效地发现传统漏洞、业务逻辑漏洞、系统本身漏洞和系统提升漏洞,帮助企业客户检测数万个系统漏洞和安全风险。通过发布专业的服务报告和可靠的维修方案,可以更好的防止企业客户处于萌芽状态,避免安全风险造成的巨大损失。
工作内容流程
1.对公司各类系统进行安全加固;
2.对公司网站、业务系统进行安全评估测试(黑盒、白盒测试);
3.查看网站或APP软件是否存在SQL注入,XSS跨站,CSRF等安全漏洞;
4.对公司安全事件进行响应,清理后门,根据日志分析攻击途径;
5.安全技术研究,包括安全防范技术,黑客技术等;
6.跟踪最新漏洞信息,进行业务产品的安全检查。
其原理包括:
SQL注入:Web应用程序对用户输入数据的合法性没有判断。前端传入后端的参数是攻击者可控的。修复建议:过滤字符、预编译语句。
XSS漏洞(跨站脚本攻击):恶意用户将代码注入到网页中。可能会提权、私密网页内容、会话、得到cookie。修复建议:过滤输入的数据,对输出到页面的数据进行相应的编码转换。
反射型XSS:一次性。攻击者可以通过电子邮件发给目标用户。
存储型XSS:攻击脚本将永永久的放在服务器的数据库中,隐蔽性高。论坛,留言板和博客。
DOM型XSS:基于DOM文档对象模型的一种漏洞。HTML节点。
CSRF 跨站请求伪造。是一种对网站的恶意利用。以目标用户的名义执行非法操作。目标用户发送邮件、发消息,盗取目标用户的账号,甚至购买商品,泄露个人隐私。修护:验证请求的Referer值。HTTP请求中加一个随机的token。
SSRF 服务器端请求伪造。攻击者构造请求,服务器端发起请求的安全漏洞。只允许访问HTTP和HTTPS的请求。限制不能访问内网的IP。
暴力破解:服务器没有限制,暴力破解需要一个庞大的字典。
那么,要掌握这些内容该如何学习呢?
零基础入门 web安全/网络安全
【----帮助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
标签:XSS,入门,Web,就够,安全,网安,请求,漏洞
From: https://blog.csdn.net/weixin_46428928/article/details/143695363