web安全入门路线及资源整理

网络安全入门:渗透测试整体框架与学习资源
最新推荐文章于 2025-12-12 16:05:37 发布
原创 最新推荐文章于 2025-12-12 16:05:37 发布 · 332 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #服务器 #php

文章介绍了渗透测试的四步流程,包括信息收集、外网入口、权限提升与内网渗透,并强调了学习路线,如web基础、漏洞原理和编程能力。此外,提供了丰富的学习资源,如ctf题目、靶场和安全书籍,建议结合实践进行学习。

一、渗透测试整体框架

四步走:1.信息收集2.外网入口3.权限提升与维持4.内网渗透

1.信息收集

技术信息收集

端口信息:nmap扫描ip信息,c段扫描、撒旦、zoomeye、fofa等域名信息收集、二级域名爆破、域名注册信息应用实别、网站cms实别、目录扫描、信息泄露实别(git、svn等)

公开情报收集

公司人员组织的信息,即利用社会工程学

2.外网入口

web服务器* VPN服务器* 邮箱服务器* apk逆向* wifi接口* 其他

  • web后门* 系统后门* 权限提升* 权限维持4.内网渗透

内网信息收集* 工作组和域* 横向拓展和纵向拓展

二、学习路线

  • web基础* 漏洞原理* 编程能力* 实战练习1.web基础

编程基础:脚本语言,开发语言网络基础:tcp/ip 、http、dns服务器的基本使用:linux/windows,基本操作命令、如何搭建web服务器(apache+php+mysql

工具使用:wireshark burpsuite

2.漏洞原理、防火墙

owasp top10

3.编程能力

脚本、工具、poc、编写

三、学习资源整理

实践:ctf题目、在线靶场、自己搭建环境、src书籍

靶场

dvwa,pikachu,awvs

### 如何入门网络安全

#### 建议

多看书

阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。

现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书

当然纸上谈兵终觉浅,最好还是实践一下。

对于那些没有学习方向和资料的同学,可以看下我整理的资源,这份资料经历过社会的实践,可以说是当下全网较全的网络安全知识体系:

①网络安全学习路线

②20份渗透测试电子书

③安全攻防357页笔记

④50份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年CTF夺旗赛题解析

gool奇米
关注
马云认可的web安全入门路线资源整理
jklbnm12的博客
08-03 194
一、渗透测试整体框架 四步走: 1.信息收集 2.外网入口 3.权限提升与维持 4.内网渗透 1.信息收集 技术信息收集 端口信息:nmap扫描 ip信息,c段扫描、撒旦、zoomeye、fofa等 域名信息收集、二级域名爆破、域名注册信息 应用实别、网站cms实别、目录扫描、信息泄露实别(git、svn等) 公开情报收集 公司人员组织的信息,即利用社会工程学 2.外网入口 web服务器 VPN服务器 邮箱服务器 apk逆向 wifi接口 其他 3.权限维持与提升 web
Web安全资料包详细.rar
10-16
命令注入之防火墙绕过,burpsuite使用技巧,CSRF思路分享,Dnslog在SQL注入中的实战,JSONP与CORS漏洞挖掘,OWASP TOP 10漏洞介绍(1),Shodan在渗透测试及漏洞挖掘中的一些用法,Web安全—逻辑漏洞篇,中间件漏洞,从目录信息泄露到渗透内网等等。。。。。。。。
安全资源共享
weixin_30835649的博客
01-06 1416
https://www.hackjie.com/ Web安全视频 Online-Security-Videos– 红日Web安全攻防视频 Online-Security-Videos– 西安鹏程网络安全攻防课程 Online-Security-Videos– Vulhub系列视频 Online-Security-Videos– 米斯特Web安全攻防视频 Online-S...
web安全资源
ShadowFlow
04-20 446
第一篇:绕过URL跳转限制  https://zhuanlan.kanxue.com/article-4354.htm第二篇:绕过APP手势密码验证  http://mp.weixin.qq.com/s/rsnNYbivXuzpfPHr77a5dg第三篇:短信&邮箱轰炸限制绕过  http://mp.weixin.qq.com/s/5OSLC2GOeYere9_lT2RwHw第四篇:挖洞技...
web安全相关的资源
fenglvming的专栏
02-28 602
网站漏洞扫描 webscan.360.cn DDoS攻击 www.yundun.com  www.anquanbao.com
CTF web安全45天入门学习路线
wholeliubei的博客
07-15 1515
web是个大坑,进去容易出去难,入门容易提升难,希望选择web的学弟学妹能够坚持在web安全这条路走下去,不要中途变了心。其实如何选择网络安全学习方向,如何进行实战与理论的结合并不难,找准正确方式很重要。接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!1.成长路线图共可以分为:一、基础阶段二、渗透阶段三、安全管理四、提升阶段视频配套资料&国内外网安书籍、文档。
WEB安全入门基础.pptx
08-24
资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 WEB 安全入门基础 WEB 安全入门基础主要包括 WEB 安全的基本概念、...
Web前端入门:从零开始做网站.txt打包整理.zip
03-05
"Web前端入门:从零开始做网站.txt打包整理.zip" 这个标题揭示了我们即将探讨的主题是关于Web前端开发的基础知识,特别适合初学者。"从零开始做网站"表明这份资料将涵盖从无到有创建一个网站的全过程,包括基本概念...
基于LayUI前端开发的漏洞测试平台,后端使用语言是PHP,包含常见的web漏洞,Web安全入门级别 搭配DockerFile
08-17
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
Web白帽子Python入门.txt打包整理.zip
03-05
【标题】"Web白帽子Python入门.txt打包整理.zip"是一个包含有关网络安全和Python在Web安全领域的应用的资源包。这个压缩文件很可能包含了多个文本文件,旨在帮助初学者了解如何使用Python进行Web安全测试,即“白帽...
WEB安全网易价值2000元
11-06
网易白帽子安全教程 由网易web安全工程师全面讲解。对小白非常友好哦~~想入门的同学抓紧来鸭
web安全学习资源链接
捡糖的echo
01-28 635
web安全学习路线 https://blog.youkuaiyun.com/ZmeiXuan/article/details/76680056   shell: http://c.biancheng.net/shell/ grep https://www.cnblogs.com/kingstrong/p/6027304.html owasp top概述 https://www.jianshu....
web安全-资源可见性安全
weixin_30371469的博客
05-23 128
针对一个安全的系统,针对图片,word文档等系统产生的文件改如何保证不被其他人看到呢? 当我们访问QQ空间的时候,我们绝对不会看到其他人的图片,这种限制是如何实现的呢? 转载于:https://www.cnblogs.com/weiguangyue/p/10913999.html...
web安全入门路线资源整理(持续更新)
qq_43200143的博客
09-07 905
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 web安全入门前言一、渗透测试整体框架1.信息收集技术信息收集公开情报收集2.外网入口3.权限维持与提升4.内网渗透二、学习路线1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、渗透测试整体框架 四步走: 1.信息收集 2.外网入口 3.权
WEB-INF安全目录下资源不能直接访问的问题
qq_17852961的博客
07-31 6504
转载一: 因为web-inf下,应用服务器把它指为禁访目录,即直接在浏览器里是不能访问到的. 但是可以让servlet进行访问,如web-inf下有a.jsp则可以用request.getrequestdispatcher("/web-inf/a.jsp").forward(request,response);   补充一下,如果你想访问web-inf下的htm文件的话,用req
2023年全国网络安全行业职业技能大赛-电子数据取证分析师-初赛C卷(15号)-Writeup
Aluxian_的博客
12-11 462
总体要求:根据提供的检材,完成指定电子数据提取。
Web安全】SSRF
最新发布
qinjilll的博客
12-12 650
SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞,允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制,常见于社交分享、在线翻译、图片加载等功能点。 漏洞利用方式包括: 探测内网存活主机和开放端口 利用file协议读取本地敏感文件 访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行 防御措施: 白名单限制:仅允许访问可信域名/IP和协议 输入校验:过滤特殊字符,校验IP归属 内网服务加固:禁用未授权访问,设置强密码
Windows系统映像劫持:网络安全中的“李代桃僵”战术
Bruce_xiaowei的博客
12-12 613
摘要(149字): Windows系统映像劫持(IFEO)是一项被滥用的调试功能,攻击者通过修改注册表Image File Execution Options项,将合法程序启动重定向到恶意软件。这种"李代桃僵"手法常用于绕过安全软件、维持权限和隐蔽执行。检测可使用Autoruns工具或检查注册表异常项,防御需限制注册表权限、部署应用白名单。该技术虽具合法调试用途,但需注意使用边界。了解此类攻击原理对构建有效防御至关重要,普通用户应保持系统更新并警惕程序异常行为。
PolarCTF网络安全2025冬季个人挑战赛 wp
lpppp小公主的博客
12-09 865
PolarCTF网络安全2025冬季个人挑战赛复现
AngularJS入门Web开发资源整理
本文档是一份关于Web开发学习的整理资料,特别针对想学习HTML的人群,特别是对于初学者来说,其中包含了作者长期积累的详细笔记。文档的核心内容聚焦在AngularJS框架上,一个由Google开发并用于构建单页应用(Single...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值