web安全入门路线及资源整理

3个月前 (05-15 01:35)阅读61
网络技术
网络技术
  • 总版主
  • 注册排名2
  • 经验值0
  • 级别网站编辑
  • 主题0
  • 回复0
楼主

一、渗透测试整体框架

四步走:
1.信息收集
2.外网入口
3.权限提升与维持
4.内网渗透

1.信息收集

技术信息收集

端口信息:nmap扫描
ip信息,c段扫描、撒旦、zoomeye、fofa等
域名信息收集、二级域名爆破、域名注册信息
应用实别、网站cms实别、目录扫描、信息泄露实别(git、svn等)

公开情报收集

公司人员组织的信息,即利用社会工程学

2.外网入口

  • web服务器
  • VPN服务器
  • 邮箱服务器
  • apk逆向
  • wifi接口
  • 其他
    在这里插入图片描述

3.权限维持与提升

  • web后门
  • 系统后门
  • 权限提升
  • 权限维持

4.内网渗透

  • 内网信息收集
  • 工作组和域
  • 横向拓展和纵向拓展

二、学习路线

  • web基础
  • 漏洞原理
  • 编程能力
  • 实战练习

1.web基础

编程基础:脚本语言,开发语言
网络基础:tcp/ip 、http、dns
服务器的基本使用:linux/windows,基本操作命令、如何搭建web服务器(
apache+php+mysql

工具使用:
wireshark burpsuite

2.漏洞原理、防火墙

owasp top10
在这里插入图片描述

3.编程能力

脚本、工具、poc、编写

三、学习资源整理

实践:ctf题目、在线靶场、自己搭建环境、src

靶场

dvwa,pikachu,awvs

0