|
|
作者:Despair
链接:
搞渗透是否需要掌握至少一门服务器脚本语言 还需要什么基础呢? 丰富的网络知识? - Despair 的回答来源:知乎
著作权归作者所有,转载请联系作者获得授权。
咦~
渗透的话,我是菜鸟,其实不止渗透,其余的我都是菜鸟
首先你得会html+js吧,CSS这里我不说了,能懂自然是好的
然后会js后,你就可以深入一下XSS了
- 《XSS跨站脚本攻击剖析与防御》
- 《web前端黑客技术揭秘》
之后你一个黑客而且还是web端的黑客,好意思不懂几门语言?首推php 次推python
为什么首推php?
- 入门简单
- 玩web不会代码审计,好意思不?
- 资料多
学了php可以先暂停了,先别管代码审计,俗话说的好:未知攻,焉知防?
去看数据库吧,至少还能玩转sql注入
- MySQL
- MSSQL
- Oracle
- PostgreSQL
- Access
- SQLite
这些你至少得会一种,了解其他的吧?
然后就是看看各大论坛了,当然在这之前你得会HTTP协议
- SSS安全论坛-bbs.sssie.com|官方论坛
- T00LS - 低调求发展
- https://http://forum.90sec.org
- i春秋论坛|白帽黑客论坛
别光看,实践最重要!!!!!
别光看,实践最重要!!!!!
别光看,实践最重要!!!!!
然后你得了解最新的圈子里的信息
- FreeBuf.COM | 关注黑客与极客
- 安全客 - 有思想的安全新媒体
- http://www.hi-ourlife.com/
- 安全盒子 - 专注于互联网安全的科技媒体
恩,好,看到这里你需要一点动力了,没,去提交漏洞赚外快吧:
- 补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立SRC,库带计划
- 漏洞盒子 | 互联网安全测试平台
- 漏洞银行(BUGBANK) 官方网站
但是提交漏洞后,发现自己真没用,好多地方明明有漏洞但是,就是不会绕过和利用,明明该懂的都懂了啊?
好的,这时候你需要来一个wooyun镜像站来看看绕过姿势了
- WooYun搜索 WooYun漏洞查询 乌云搜索功能 乌云漏洞搜索 WooYun公开漏洞查询平台 wooyun邀请码 乌云邀请码 WooYun.org邀请码
- 华西安全网--wooyun漏洞报告平台搜索--乌云WooYun镜像站
事实上很多利用方式都会了后,还是感觉自己挖洞太慢,咋办?ok,这个时候就是你学习python和代码审计的时候了
python:
- Python 官方文档中文站
- 在线手册中心
- Python论坛-国内最好的Python中文社区:Python论坛|Python教程|Django教程|Python框架
代码审计:
- SSS安全论坛-bbs.sssie.com|官方论坛
- T00LS - 低调求发展
- https://http://forum.90sec.org
- i春秋论坛|白帽黑客论坛
额,好吧我会一点Python了,也会审计一下程序了,但是还是太慢啊。
OK,这时候你得会写exp哦
- BugScan--漏洞插件社区
- Seebug - 洞悉漏洞,让你掌握第一手漏洞情报!
恩,我会写exp了,然而这又有什么用呢?特征呢?特征在哪?
是时候展示真正的神器了:
----------------------------------------------------------------------------------------------
额,先到这里吧,其余的我也没涉及到,你说的提权,我也只会用exp和常见的提权方式,遇到防火墙就得阳痿的人
-------------------------------------------------------------------<2016.10.15补充>---------------------------------------
还有一件事,你得明白web安全和渗透测试的区别
web安全:顾名思义,就是web层面的安全,在不考虑远程溢出、C段嗅探、铁锤砸机的情况下的安全
渗透测试:
最终目的是渗透
最终目的是渗透
最终目的是渗透
重要的事情说3遍 |
|
发 帖
发表于 2022-12-17 19:42:10