-
-
[原创]web渗透指引
-
发表于:
2017-2-6 21:38
6099
-
急性子可以从漏洞入手,然后再补语言功底
目前呢,web这方面常见漏洞是跨站脚本漏洞,SQL注入漏洞,CSRF,strut2漏洞
先发一个漏洞和所需语言的对应关系
1.跨站脚本(xss)需javascript语言功底,看《javascript dom编程艺术(第二版)》,《javascript高级程序设计第三版》,然后便是余弦大牛的《web前端黑客技术揭秘》
2.注入需sql语言功底(主要是mysql),推荐慕课网的mysql教程,讲师很用心,然后是小迪微信公众号的mysql注入教程,及wooyun的大牛的一些精华(wooyun现在已经关站了,可以去wooyun镜像站)
3.strut2漏洞我也不是特别清楚,都是用的strut2一键利用工具的,需要linux和windows提权的功底,这个网上教程蛮多的
4.csrf 余弦大牛的《web前端黑客技术揭秘》
另外,html语言和php语言是必须要学的,至于css呢,可以了解下,有兴趣的可以深入,推荐《css3设计指南第二版》
高手一般都会代码审计(php语言功底),html语言我推荐绿叶学习网上的教程,视频版的话推荐phpchina上的html5入门教程,php语言我建议大家按这样的路径来学习:慕课网的php入门教程,进阶教程不是太好,然后看php官方手册(www.php.net/manua/zh),然后看《深入php……》,代码审计的学习是《代码审计:企业级web代码安全架构》
操作系统推荐用用kali linux或rhel7.0,当然win10我个人也蛮喜欢的,《linux就该这么学》这本书就不错
我也正在学习。。。。。个人对自己的日后学习的规划和方向,高手勿喷
此外,《黑客攻防技术宝典web实战篇第二版》《白帽子讲web安全》《web之困》都很有价值
书希望大家能买实体书吧,毕竟像这方面的书作者稿费都不会高,请鼓励作者
然后推荐一些博客和网站,感谢大牛们的无私奉献
知道创宇研发技能表http://blog.knownsec.com/Knownsec_RD_Checklist/
独自等待https://www.waitalone.cn/
余弦:http://evilcos.me/
i春秋:http://www.ichunqiu.com/
seay:http://www.cnseay.com/
慕课网:http://www.imooc.com/
然后还有知乎上的一些,比如道哥等等
新手发帖,语言组织不太好,这是个人的经验,欢迎大家补充或校正错误
[课程]Android-CTF解题方法汇总!