直接想必须安全入门视频的伴侣们公众号回复“安全入门”就可,或划到文案底部获取百度云链接。
那样,好了此刻起始我的故事了。
我先说明在我还无正式从事信息安全渗透测试等工作时,我会些什么,原来我是从事软件测试工作,那个时候会SQL基本的增删改查命令、linux常用的基本命令、前端的HTML、JS基本知识、java、python的基本知识(当然不像研发能直接去做项目,晓得基本语法),以及最基本的抓包、TCP/IP协议认识一点,虽然无一个算是精通的,但亦是每一个都认识一点。当然实质渗透测试过程中,亦不必定每一个都用的到。
在你选取做WEB渗透测试,要会什么,首要最基本的抓包你要晓得,Burpsuite是最常用的工具,你要看懂数据包的几个基本字段:Content-type(传输的数据文本类型)、GET\POST(数据传输中的最常用办法)、Referer\Origin(发送该请求位置的路径和CORS/POST请求必须表示的域名端口-一般不是全路径)、传输的数据-XML\JSON\文本文件等的数据格式。
其次,数据库最基本的增删改查语句你要晓得,一般SQL注入产生的问题都是因为select查找无对用户的输入进行过滤导致的,你得先晓得SQL的增删改查语句,才可再去探索什么是SQL注入问题,去找这种漏洞。
而后你必须对前端的Javascript这门语言有必定的认识,晓得了javascript的基本语法,你再去探索这种漏洞,查询它,再去认识利用它的原理,能用它来干什么,原先我为了扩展自己的XSS知识面就去学习一本叫javascriptDOM编程的艺术,名字我就记不清了,去认识那些常用来探测XSS的技术和手段。为了学习SQL注入,我就去把SQLi-labs靶场第1页打通关,把每一关的攻击方式记录下来,加强理解。我还去学习汇编语言、学习IDA和Ollydbg的运用,去学着逆向,学着分析恶意代码,亦是期盼以后找信息安全工作面试能加点分,其实菜的一批,哈哈。搞安全嘛就得学会吹牛逼,想要吹的好,就得去学习和累积知识,否则你吹不出来,这就很烦。那个时候我是从事软件测试工作的,虽然工资低点,但每晚回来自己学习安全技术,感觉日子过得尤其有激情,那种针对知识的探索、针对黑客的崇拜激励着我,给我快乐。当然了,当它作为你的工作职业亦就不那样有激情了,大众懂的,哈哈。不外我从来都无懊悔过入这么行业,相反很满足。
为何呢,由于那个时候我亦是刚毕业不到2年,工资真的很低,进入这行工资才可观了起来,起初我在一家机构从事软件测试工作,那个时候仅有3000一月,实质发到手仅有1900,1900特么能干什么,哈哈。其实那个时候我还是刚培训完软件测试这个行业,还欠着贷款,每一个月还款都没钱,最后引起卑劣严重的后果,到最后借钱还,找伴侣借,从app贷款上借,那个时候我是真怕啊,就怕自己最后欠几十万没法偿还,虽然我不得不承认这家培训公司很坑,但亦确实让我学到了SQL和Linux的常用基本知识,JAVA和Python是我自己自学的,当而后面又加强了一波。
说完SQL注入和XSS,要做渗透测试,那其他的漏洞当然亦得去认识了,这儿再提下本来我在做软件测试的时候,对安全这块基本毫没概念,一次偶然的机会,让我在“今日头条”上看到一个安全兴趣者发的一篇SQL注入原理的文案导致了我兴趣,后来便是由于这个我自己去起始探索的,便是“抖音”的字节跳动这家机构的。针对其他的WEB安全漏洞,我就自己在网上查询视频,当我偶然看到一个白帽子WEB安全入门视频,是网易的(这儿不是打宣传)。让我对WEB安全的几个平常基本漏洞有了基本全面的认识,它的原理讲的很清楚,亦让我脑中有了WEB安全的概念和雏形。它是以DVWA这个WEB安全经典靶场为基本进行讲解的,除了以上还包含CSRF、点击劫持、文件上传、暴力破解等,这亦是WEB安全测试必须关注的几个点。
这个时候我已然对这些平常的WEB安全问题有必定的认识,就缺这份工作了,可惜无工作经
|