渗透测试入门指南,新手必看!

原创 于 2023-11-30 11:53:30 发布 · 117 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #网络

本文介绍了渗透测试的概念,其流程,以及如何通过关注安全站点、学习视频课程、建立博客、阅读书籍和参与社区等方式进行系统学习。强调了编程在渗透测试中的重要性,同时提供了学习路径和实战建议,提醒学习者注意法律边界,推荐了在线靶场进行实践练习。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、什么是渗透测试?

百度:

我理解的渗透测试是通过各种手段对目标进行渗透(攻击),通过攻击来测试目标的安全防护能力和安全防护意识

打个比方:比如电视剧《我是特种兵》里面的演习,特种部队(进攻方)渗透到蓝军(防守方)的指挥部进行斩首,如果斩首成功,那么就可以知道蓝方的防守能力不够好,需要改进,反之就是特种部队的特种作战能力不足,需要提升。那么渗透测试工程师就相当于特种部队里面的特战队员,我们需要对我们的目标做一次渗透,以测试目标的防护能力。渗透测试工程师就相当于矛,目标就相当于盾

二、渗透测试的流程

三、应该如何学习渗透测试

1.关注一些安全站点,这样可以了解到最新的东西和技术

吾爱破解
看雪
阿里云先知社区
MPGH
Hack+
Hack Forums
Track 安全社区

2.找高质量的体系化视频课程,坚持学完,并且做好每个视频的笔记

视频课程:

课程内容讲解了常见漏洞的原理以及当下主流安全工具的使用,适合想要学习渗透但是完全零基础的同学

课程内容详细讲解了Kali的安装介绍以及常见问题讲解、Kali渗透小技巧和工具详解、kali实战技能

3.建立一个自己的博客

把自己的所学、自己的笔记记录下来。这个很重要,因为这样你可以以一个第三者的视角看待自己的东西,就会找出不足,你就可以改进

4.每天看几篇漏洞文章,以增加自己的漏洞知识储备量 

内容可翻看我之前的文章...

5.看书和看视频相结合

将看书与看视频结合起来,因为视频里面讲的理论没有以文字呈现,理解起来会有些困难。所以两者相结合,更有利于理解。

这里推荐:

入门级别:《Web安全渗透剖析》

进阶级别:《白帽子讲web安全》、《网络攻防实战研究:漏洞利用与提权》

6.加入一些氛围好的学习群,一些小圈子,找到与自己志同道合的朋友一起学习,相互讨论

现在市面上好多论坛要不就是没什么人,要不就是搞得花里胡哨的。这里我推荐下我们自己的社区

Track 安全社区

我们社区坚决抵制花里胡哨,每天都有精品文章持续分享

社区分为以下几大板块

面试经验#实际实战#干货技术文#安全工具#招聘板块#聊天互动#等..

老学生将在社区不断分享实战经验,新学员将持续学习,持续进阶!

讨论组形成全方位生态化学习

四、学到什么程度才能达到就业?

如果是在校生的话,人家企业是会放宽条件的。安全方面的也有很多个方向的,比如有渗透、安服、审计,这个就要看你往哪个方向走了,360行,行行出状元,不要问我哪一行吃香,有技术到哪里都是吃香的

至于学到什么程度就业,可以去看看各大公司的招聘信息,比如:

甲方的安服方向

乙方的安服方向

乙方的渗透方向

五、学习渗透过程中的一些疑难杂症

1.学渗透需要学编程吗?

很多人在学习渗透的时候容易陷入一个误区,就是以编程为方向学习渗透

编程决定了你在渗透这条路上能走多远,比如说你编程水平高,那你在代码审计的时候就会比别人强,写出的漏洞利用工具就会比别人的好用。

但是!!!编程决定不了你入门!很多人在一开始就学习编程,导致学习时间长(也有很多人在学编程的道路上就已经被劝退),而实际向安全过渡后可用到的关键知识并不多,很多安全函数知识甚至名词都不了解 unserialize outfile

所以学习渗透确实是需要学编程,但是不是在入门的时候!

2.计算机各领域的知识水平,应该学到什么程度呢?

网上很多人都说学习渗透需要先学习计算机原理等等,但是零基础是不是上来就要把计算机各领取的知识水平学的很好再搞渗透呢?

并不是!!!这也是很多人都会陷入的误区,网上大部分的学习路线只是给了一个大纲,却并没有告诉你具体要学到什么程度才能进行下一步,导致很多人面对大量的理论知识而迷茫

但是其实作为初学者,可以先学习那些基础,比如说你先学一个编程语言的基础,用PHP做例子,你起码要懂if else这些、连接数据库;比如学数据库,用MySQL做例子,那至少也是要会增删改查、子查询这几个操作;网络的话比较难,也是很抽象的,你做外网的渗透,至少要懂基础的http协议,知道端口是什么,知道网站是怎么架设起来的;操作系统的基础相对比较好学,主要是各种命令的作用,各种软件的安装和使用

3.如何进行渗透测试实战?

首先大家一定要记住,所有未经授权的渗透都是违法的,所以大家切勿一通乱黑,被关进橘子有的哭了。我们可以在本地搭建一些本地靶场,比如Dvwa

也可以去一些在线靶场去测试我们的所学,比如我们学院的在线靶场:封神台

我们学院靶场的体验、强度、真实性,是对标我们为军区制作的质量

而且我们做到了每节课程都有配备相对应的靶场练习,大家在听完课以后,可以去真实(模拟)的目标,实战攻击训练

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值