web基础知识
web安全,意为web的安全,web即万维网,是由超文本和HTTP构造,就是我们常说的网站。那么要学习web安全,必要先要了解web的知识,不然何谈渗透,网站是由程序,空间,域名三大部分组成。我们渗透的目标一般就是网站的程序,能编写网站的编程语言非常多,然而最最适合我们的还是PHP它的优点在于:入门学习时间短快速开发,可以说非常的适合我们的学习。
漏洞学习
安全学习就要掌握各种漏洞原理比如注入漏洞:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。要明白漏洞形成的过程和原因,从而可以在以后安全风险挖掘过程中随机应变。漏洞学习可以参考OWASP来源项目,项目中不仅包涵漏洞原理,测试工具,还有其他的来源目标系统供你练手(当然也有很多其他平台,需要你进入圈子慢慢挖掘)。下面是登录模块可能存在的问题点:
合适的武器
"工欲善其事,必先利其器",好的工具可以大大的提供效率。当然利用工具的目的是为了提高效率,而不是让自己变成脚本小子。所以不仅要会用工具,而且要知道其中的原理,最好能够在原工具的基础上进行二次开发。下图是一些渗透测试工具
融入圈子
结交一些白帽子像博客、论坛、qq、安全沙龙、CTF比赛等,不仅可以与时俱进学习到新的知识,而且还可以认识到一群一起成长的朋友。