黑客好学不,学黑客学web

hacker2022-09-24黑客195

黑客零基础入门

对于零基础的朋友第一步要做的是掌握web前后端基础和服务器通讯原理,前后端包括h5,js,PHP,sql等等。

第二步要做的是熟悉当下主流的漏洞原理及利用,包括但不限于,xss,csrf,文件包含,文件上传,远程代码执行,sql注入等等。

第三步就是实战挖掘主流漏洞及代码审计漏洞,本着非授权即违法的原则,大家 不要去找非授权的网站去黑,大家可以在各大SRC平台上挖掘漏洞,SRC即漏洞响应平台。

进入学习阶段:

首先是我给大家推荐的是前端的html/css/js + php进行学习,前端的这些都是肯定需要学习的知识,至于后端的编程语言我建议还是php,主要是因为入门学习快、目的呢就是更快的接触到php+mysql开发。

这样前前后后的知识加起来才能在知识链上完整构成一个网站,这样做的好处的就是快速了解一个网站如何开发,什么是前端和后端,什么是http,什么是数据库,网站的数据都存储在哪?

当然不怕枯燥的话从C语言开始学起更佳,相比于C语言这种学习了半载一年还不一定有什么成果的玩意,直接用工具按照教程来达到目的会容易且有趣的多,但学习C语言在很多的时候,往往能够学习到C语言之外的东西,对程序的运行,内存的分配与管理,数据结构甚至是编程的书写习惯,都有非常大的好处,可以说,C语言学会后再学习其它大部分的语言都会快得多。

黑客是学什么专业的、

首先你要明白什么是黑客

用个黑客软件盗取别人什么密码的不叫黑客,那个叫小混混

黑客要掌握很多东西,我就是学计算机的,学过很多编程语言,各种计算机相关知识,,但我也不是一个黑客

黑客的目的就是侵入,不是说学什么专业出来就是黑客,有的人学完了叫打字员,有的学完了叫高级程序开发员,那种学的很好的又觉得怀才不遇的都去当黑客了

计算机最基本的就是编程,不管是软件编程还是硬件编程,编程也又很多中,有的觉得自己vb很好的,出门都没人要,觉得自己汇编很好的又不敢要,怎么说呢,要对最基本的编程‘汇编程序’要熟知,现在破解网游的都是汇编nb的,c语言也是很重要的,凌驾于数据结构之下,无人能敌。

黑客的网络技术也要求很好,你要报考计算机专业都能学到,什么网络,编程,还有硬件的,数字逻辑,电子电路,计算机组成原理,微型计算机的端口技术,在上大学都要精通了,出来不是个黑客也很难

web安全要学什么?

Web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。所以,这篇类似学习路线的文章,希望可以帮助刚入门的萌新们少走弯路。(文末附学习资料及工具领取)

首先我们来看看企业对Web安全工程师的岗位招聘需求是什么?

1职位描述

对公司各类系统进行安全加固;

对公司网站、业务系统进行安全评估测试(黑盒、白盒测试)

对公司安全事件进行响应、清理后门、根据日志分析攻击途径

安全技术研究,包括安全防范技术、黑客技术等;

跟踪最新漏洞信息,进行业务产品的安全检查。

2岗位要求

熟悉Web渗透测试方法和攻防技术,包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等OWSP TOP10 安全漏洞与防御;

熟悉Linux、Windows不同平台的渗透测试,对网络安全、系统安全、应用安全有深入理解和自己的认识;

熟悉国内外安全工具,包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等;

对Web安全整体有深刻理解,有一定漏洞分析和挖掘能力;

根据岗位技能需求,再来制定我们的学习路径,如下:

一、Web安全学习路径

01 HTTP基础

只有搞明白Web是什么,我们才能对Web安全进行深入研究,所以你必须了解HTTP,了解了HTTP,你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。关于HTTP,你必须要弄明白以下知识:

HTTP/HTTPS特点、工作流程

HTTP协议(请求篇、响应篇)

了解HTML、Javascript

Get/Post区别

Cookie/Session是什么?

02 了解如下专业术语的意思

Webshell

菜刀

0day

SQL注入

上传漏洞

XSS

CSRF

一句话木马

......

03 专业黑客工具使用

熟悉如何渗透测试安全工具,掌握这些工具能大大提高你在工作的中的效率。

Vmware安装

Windows/kali虚拟机安装

Phpstudy、LAMP环境搭建漏洞靶场

Java、Python环境安装

子域名工具 Sublist3r

Sqlmap

Burpsuite

Nmap

W3af

Nessus

Appscan

AWVS

04 XSS

要研究 XSS 首先了解同源策略 ,Javascript 也要好好学习一下 ,以及HTML实体 HTML实体的10 或16进制还有Javascript 的8进制和16进制编码,最终掌握以下几种类型的XSS:

反射型 XSS:可用于钓鱼、引流、配合其他漏洞,如 CSRF 等。

存储型 XSS:攻击范围广,流量传播大,可配合其他漏洞。

DOM 型 XSS:配合,长度大小不受限制 。

05 SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识:

SQL 注入漏洞原理

SQL 注入漏洞对于数据安全的影响

SQL 注入漏洞的方法

常见数据库的 SQL 查询语法

MSSQL,MYSQL,ORACLE 数据库的注入方法

SQL 注入漏洞的类型:数字型注入 、字符型注入、搜索注入 、盲注(sleep注入) 、Sqlmap使用、宽字节注入

SQL 注入漏洞修复和防范方法

一些 SQL 注入漏洞检测工具的使用方法

06 文件上传漏洞

了解下开源编辑器上传都有哪些漏洞,如何绕过系统检测上传一句话木马、WAF如何查杀Webshell,你必须要掌握的一些技能点:

1.客户端检测绕过(JS 检测)

2.服务器检测绕过(目录路径检测)

3.黑名单检测

4.危险解析绕过攻击

5..htaccess 文件

6.解析调用/漏洞绕过

7.白名单检测

8.解析调用/漏洞绕过

9.服务端检测绕过-文件内容检测

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07 文件包含漏洞

去学习下

include() include_once() require() require_once() fopen() readfile()

这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别,以及利用文件包含时的一些技巧如:截断 /伪url/超长字符截断等 。

08 命令执行漏洞

PHP代码中常见的代码执行函数有:

eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。

了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。

09 CSRF 跨站点请求

为什么会造成CSRF,GET型与POST型CSRF 的区别, 如何防御使用 Token防止CSRF?

010 逻辑漏洞

了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞:

信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.

011 XEE(XML外部实体注入)

当允许XML引入外部实体时,通过构造恶意内容,可以导致文件读取、命令执行、内网探测等危害。

012 SSRF

了解SSRF的原理,以及SSRF的危害。

SSRF能做什么?当我们在进行Web渗透的时候是无法访问目标的内部网络的,那么这个时候就用到了SSRF漏洞,利用外网存在SSRF的Web站点可以获取如下信息。

1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;

2.攻击运行在内网或本地的应用程序(比如溢出);

3.对内网Web应用进行指纹识别,通过访问默认文件实现;

4.攻击内外网的Web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);

5.利用file协议读取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了。

如果看了上面你还不知道具体如何学习?可参考合天网安实验室Web安全工程师岗位培养路径学习:网页链接

黑客要学web前端吗

需要

因为web前端是一种编程技术,是黑客需要必备的一项技能。

如何系统学习web安全,web渗透测试

首先得清楚web安全/web渗透是什么:模拟黑客攻击,利用黑客技术,挖掘漏洞,提出修复建议。

涉及到的技术有:数据库/网络技术/编程技术/操作系统/渗透技术/攻防技术/逆向技术/SRC漏洞平台/ctf经验。。

岗位能力要求:

1、熟练使用awvs、nessus、metasploit、burpsuite等安全测试工具,并对其原理有一定了解

2、熟悉OWASP中常见的web安全漏洞、业务逻辑漏洞及其原理

3、熟悉渗透测试技术的整体流程,具备独立开展渗透工作的能力;

4、熟悉linux系统操作,了解常见web中间件、数据库、服务器相关漏洞

5、至少掌握一种编程语言,能够开发用于辅助日常工作的脚本

6、具备一定的php或java代码审计能力,能够对公开漏洞进行分析

7、具备良好的逻辑思维、沟通技巧及团队协作能力

8、已取得信息安全等级测评师证书的优先。(NISP)

想要系统的学习web渗透,可以参考企业对人才的要求进行学习。

评论列表

访客
访客
2022-09-24

岗位要求熟悉Web渗透测试方法和攻防技术,包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等OWSP TOP10 安全漏洞与防御;熟悉Linux、Windo

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。