一些是在网上看到的关于信息安全学习建议的文章,另一些则是学长学姐留下的宝贵经验,颇有收获,记录于此,侵联删。

# 给表弟的 Web 安全入门建议

Posted on 2017 年 7 月 17 日

表弟大一刚结束,学的是计算机相关的专业,上学期开始学安全相关的技术,我就给他买了一套云课堂的 《Web 安全工程师微专业》 课程,结果这货学到第一课的时候,因为错过章节考试时间直接没及格...... 好在后边几课都按部就班的学习了,然后应该是 6 月份开始试着在 教育行业 SRC 挖掘漏洞,到现在也只是发现了几个 XSS、敏感文件泄露之类的小漏洞,和他同期学习课程的一些同学已经挖了很多了排名很靠前,还有在企业 SRC 挖洞的,看看别人家的表弟... 之前表弟要准备课程的期末考试之类的,现在放暑假了,我就建议说可以再好好学习那套课程,趁着暑假,多实践。然后就讨论到 有没有适合入门阶段学习的 Web 安全书籍 这个问题。

说到 Web 安全书籍,这几年其实是一种百家齐放的状态,不断有优秀的书籍出版,那这里就尽可能少地整理几本我阅读过的 Web 安全入门书籍作为推荐。

如果没学过相关课程的小伙伴,真的从 0 基础开始的话,还是需要先掌握一些基本的技能:
\1. 学习 网站构建初级教程_W3C 以及 HTTP 协议基础 - runoob 上了解 Web 前后端以及 HTTP 协议的一些基础介绍,花半天时间对相关技术有个概念性的了解就够了。
\2. Windows 下下载 phpStudy 或者 WAMP ,在本地搭建 Web 服务器环境,然后自己搜索两篇文章学习下基本的操作方法。这个本地 Web 服务器也就相当于学习过程中的一个实验环境了。
\3. 学习浏览器的开发者工具(通常快捷键 F12 调出),搜索一些教学文章,掌握 Chrome 或者 Firefox 浏览器开发者工具中的 Network、Elements 功能的常见用法,可以查看 HTTP 数据包以及定位页面元素

# 0x01 给表弟的 Web 安全入门建议

# 适合初学者的 Web 安全书籍

  1. 《白帽子讲 Web 安全》

    道哥出品,很多人的 Web 安全启蒙书。

  2. 《Web 前端黑客技术揭秘》
    前端黑客技术,余弦的作品。

对于读书,我觉得读书的目的是:学以致用。应该把注意力放在如何应用读到的知识,提高自己的技术,而不是学了多少内容。
一年哪怕只学习了一本书,也要让这本书的内容结结实实地提升自己的技能,而不是只为了多一点谈资或者阅读清单上多一个数目
。这也是我这里只推荐了两本书的原因,因为我觉得这两本书,能够认真学习完,并且实践书中的案例和技能,已经很难得了,同时相比于简单翻一遍,要多花费很多的时间和精力。

# 工具与实战

那学习 Web 安全呢,同时还要掌握一些工具:浏览器开发者工具与浏览器插件(如 HackBar、ProxySwitcher)、抓包工具如 Burpsuite、漏洞扫描和验证工具如御剑、sqlmap、AWVS,工具可以在 Freebuf 上自行搜索下载,教程可以参考 Web 安全 - i 春秋系列教程中对应这几款工具的章节学习。

好的工具可以帮助我们提高测试效率,扩展测试思路。除了工具的使用,通过搭建本地实战环境练习手工技巧,也是很好的进阶之路,这里建议可以搭建 DVWA 漏洞测试环境,然后参考 DVWA 系列教程_Freebuf 进行学习。

学习的同时也可以在在教育行业 SRC 等漏洞平台上挖掘漏洞,赢得认可,也是一种动力,但挖掘漏洞的时候一定要注意规范和界限,可以参考自律方能自由,《网络安全法》实施后的白帽子行为参考,挖掘漏洞的同时也要注意保护自己。

# 适合初学者的社区和资讯站点

  1. 网站安全_i 春秋社区

    i 春秋社区聚集了很多的人气,有好多学生,也很活跃,入门和进阶的文章都有,可以多多交流。

  2. Freebuf
    很多科普和梳理性的文章,也经常会有时下的热点讨论。

# 大学在校生可以关注的一些比赛

  1. 全国大学生信息安全竞赛
    这个和全国大学生电子设计竞赛信息安全技术专题邀请赛一样,都是做一个安全软硬件系统来解决一些安全问题,通常有项目文档提交、源代码提交、现场演示答辩等几个步骤,分为初赛复赛,全国大学生信息安全竞赛为每年一次,全国大学生电子设计竞赛信息安全技术专题邀请赛通常两年一次,这两个比赛获奖对于大学生都有竞赛加分,在锻炼自己的同时,对评奖学金和保研也有帮助。
  2. 全国大学生信息安全竞赛创新实践能力线上赛(CTF 形式)
    这个是和 i 春秋合作的线上赛,和线下赛目前看来还没什么关联,CTF 性质的。每年的 CTF 比赛很多,大家可以关注 i 春秋等一些站点的资讯就行了,大学生组队参加 CTF 比赛的挺多,也是很好的锻炼方式。

# 挖洞、博客与团队

既然是入门了,建议就可以随着学习的深入,在一些 SRC 平台上挖掘漏洞,如果你不太喜欢走这个路线,也可以整理自己的学习过程,写一些技术博客进行分享,俗话说来 “你挖洞来我拍砖”,都可以,而且一些平台如 Freebuf、先知社区都有付费文章奖励计划,这两种都可以在学习技术的同时获取到一些物质上的奖励,如果你慢慢有了一些编程能力(Python、Web 前后端等),除了让自己的安全技术自动化之外,还可以再 Github 等平台分享一些开源项目。相关的 SRC 站点我随后再说。
关于写博客,如果自己搭建站点的话,可以考虑使用 hexo+github 搭建免费个人博客,或者租用一台 VPS 部署 Wordpress 博客程序。其实我觉得,初学的话,可以不在站点搭建上浪费时间,在一些比较优质的博客平台上注册一个帐号即可,也可以有自己的个性域名。如 oschina博客园简书。写博客本身就是对自己知识技能的巩固和梳理,不要怕写不好,博客就当是给自己看的。
有一个点要提示一下,既然想走安全这条路,那么给自己想一个个性的 ID(昵称),提交漏洞或者注册博客时都用这个,好好维护,当做自己的个人品牌认真经营,随着你的贡献和分享越来越多,你的 ID 会被越来越多的人了解和认可。
积累的过程中,如果恰好遇到几个志同道合的小伙伴,那就组个小团队吧,平时技术切磋交流,或者组团挖洞,打 CTF 等都是极好的。也可以主动去搜寻,或者申请加入一些公开招新的安全团队。一个人有时候可以走的更快,但一个团队往往可以走的更远

# 一些进阶的书籍和资源推荐

这部分内容按需选择即可,等你入门了之后,有了一定的技术和经验,你已经足够去规划自己的发展了。

  1. 《HTTP 权威指南》

    平时可以当做词典来翻阅。

  2. 《黑客攻防技术宝典 Web 实战篇》
    深入剖析 Web 安全技术。

  3. 《黑客秘笈 渗透测试实用指南》
    可以在虚拟机 VMware 中,下载运行 kali Linux 的 VM 版本进行学习和实践。

编程技术相关的书籍和教程,W3C菜鸟教程 runoob现代魔法学院已经能解决很多问题了,然后语言相关的官方文档都可以当做词典来查,如果想找本书系统学习的话,这里推荐下 Python、PHP 和 Web 前端的书。
《Python 核心编程》
《PHP 和 MySQL Web 开发》
《Head First HTML 与 CSS》
《JavaScript 高级程序设计》

站点可以浏览下 安全圈 infoSecWiki ,前者是一个持续更新的安全圈站点导航,总能找到你想要的网站,之前说的 SRC 站点这里都有,后者是一个安全资讯的收录分享平台,有什么安全问题可以搜索一些历史文章看看。

# 0x02 聊聊 “学习” 与 “实践”

# 入门与进阶

对于初学者来说,找一个靠谱的教程或者老师,帮助自己快速入门是非常有必要的。入门之后,虽然高手的点拨也很重要,但更多的功课其实是需要你自己来做的。这也是为什么优秀的入门教程很多,但是优质的进阶版本教程却不多。
有一句话叫 “付费就是占便宜”,对于新手来说,入门阶段花一点钱买一套优质的课程,让有经验的内行带着自己学习,往往是最优的选择。还有一句话叫 “免费的就是最贵的”,免费的教学资源,质量参差不齐难以保证,不用花钱,但耗费的是你筛选的精力和时间。自己根据条件取舍,现在已经逐渐进入了一种知识付费的时代,这就是我给表弟买了一套云课堂的《Web 安全工程师微专业》课程作为入门学习的原因,一套优质的网课,相比于昂贵的线下班性价比很不错。

# 等准备好了再 “实践”?

李笑来老师有一个观点,学习任何一个学科的时候,都有一个概念很重要:

最少必要知识
MAKE : Minimal Actionable Knowledge and Experience

就是说,当我们在学习某项技能的时候,就要用最快的时间摸索清楚最少必要知识 (MAKE) 都有哪些? 然后迅速地掌握它们,这样就实现了 “快速入门”,然后就可以开始动手实践,然后在实践中印证理论、加深理解,同时继续扩展学习。
同样的时间,一个用来等待,另一个用来践行,两者的差距可能是天壤之别。你要知道没有任何考试是在你准备充分了才开始的
有些人喜欢等待,等到合适的时机出现的时候,再采取行动。另一些人则喜欢边做边想,有不足的地方就改进,有新的问题就解决。
一段时间过去之后,后者可能已经前进了很长一段路程,而前者多半还在等待一个 “恰当的时机”。
我原来就有这个问题,老想着先体系化学完某门技术... 结果就是坚持不实践,过了很久还是啥都不会,反而之前看的那些知识因为没实践过也都忘了
用和学,用比学重要。用时比学时重要。“用时” 是一个很好的概念。
很多人说自己 “学” 了那么多年英语,但现在依然说不出,听不懂。其实他们就是在用 “学时” 代替 “用时” 来计算自己的付出的。
我们总说有效学习,其实衡量有效学习最好的方式就是:计算使用的时间。在安全技术学习上,就是:实践的时间

# 从 “想到”、“学到” 到 “做到”

“用” 比 “学” 重要;“做” 比 “想” 重要;边做边想,比单纯想想不知道好多少倍。只有做到了才是掌握了。“人至‘践’则无敌”。
只要你开始做,高估或低估的困难就不仅仅是一个估计,而是一个摆在面前需要解决的现实问题。你对于它的理解不会再飘忽不定,而会变得非常具体。
很多人在做得不好的时候,总是喜欢退缩回原来的舒适区,认为是由于自己的基础还不好所以才这么不顺利,而忘记了这些践行过程中的困难,才是真正帮他们打牢基础的过程

# 0x03 结语

很多人梦想找到一个牛逼的师父,几天速成然后笑傲江湖。可是每一个真正练就一身武艺的人都是靠冬练三九夏练三伏这么过来的,他们靠着一种忘我的热情持续投入进去磨练,数年如一日,最终自己也不知道怎么就发现具备了无坚不摧的实力。 同样,就算是要开好挖掘机,或着当一个好厨师,也要在自己的技能树上,一步一步地积累技能点,把过路点都点满了,才能点出大招。
我们从小到大往往会听到长辈们的建议:“戒骄戒躁”。虽然 “戒骄” 放在前面,但 “戒骄” 其实是有了一定成绩之后的事情。对大多数人来说,首先要 “戒躁”,才有机会 “戒骄”。

一个人能获得的最可贵的能力,都和掌握一门语言一样,你所付出的努力不是能够获得即时回馈的,甚至在很长的一段时间内没有任何收获,直到积累到了一定的阶段后,忽然爆发出惊人的力量,连你自己都不清楚这一切是如何发生的。比如锻炼身体,读书写作。当你经历了足够的量变终于引起质变时拥有的技能,大部分人是终身难以企及的,不是因为他们太笨,恰恰相反,因为他们都太聪明了。选择一个正确的方向,对那些无法立即获得回报的事情,依然能付出十年如一日的专注和热情,最终的结果也许不足以让你独孤求败,但足以出类拔萃。

祝表弟早日成为表哥,然后带带我~

Web 安全入门指南

1Web 安全只是安全的的一个小方面,学习的过程中眼光不要被 Web 安全工具所局限,一个优秀的安全人员也必定是一个优秀的开发人员,为了掌握漏洞成因,开发的知识也是不可少的。

2:《中华人民共和国网络安全法》于 2017 6 1 日施行,切勿把技术用于非法用途,切记。

3:可以在学习过程中结合 CTF 题目进行理解,具体操作看第六点

萌新可以着重看 12356

\1. 学习常见 web 端语言,初期熟悉即可

如:HTML/CSS,PHP,Javascript

可以设个小目标:比如编写一个带登录注册的留言板,记得在设计过程中考虑安全问题。

2. 熟悉常见漏洞,推荐书籍:《白帽子讲 web 安全》以及《Web 安全攻防:渗透测试实战指南》

TIPS: 《白帽子讲 web 安全》耐心看,里面的知识刚开始可能比较难懂,但都很有意思,萌新只要通过这本书建立对 WEB 安全的 初印象即可;《Web 安全攻防:渗透测试实战指南》这本书的各种攻击方法比较入门,可以尽量去理解它。当然,因为没有基础,所以看起来也可能比较难懂,有不会的可以去百度或者谷歌 (推荐谷歌)

常见漏洞参见 OWASP TOP10 漏洞以及上面两本书

\3. 掌握常见数据库,初期熟悉 Mysql 即可,因为 SQL 注入比较常见的便是 Mysql 数据库。后期需要掌握其他数据库。

Ps:掌握过程中可以自行搜索相关知识,SQL 注入以及防范注入,如何绕过防范等等

\4. 有基础或者学有余力可学习一门脚本语言,如 python,可以按照自己需求定制工具,并且可以尝试编写端口扫描,sql 注入之类的脚本,并且 python 的可玩性也是很高的

\5. Web 漏洞在线演练地址:

http://43.247.91.228:82/WebGoat/login.mvc;jsessionid=BD432C7F3B89012DA77736C6EAD4E66B#attack/360466308/5

下面推荐的演练平台需要下载,需要在本地进行配置。在线平台和本地平台各有优势,本地平台可以观察攻击所造成的影响,在线平台方便快捷

可结合漏洞演练平台进行练习(本地配置),推荐文章如下:

# [TOP10] 十大渗透测试演练系统

# DVWA 攻略(只选了一个演练平台,有兴趣可以尝试其他的):

# 新手指南:DVWA-1.9 全级别教程(完结篇,附实例)之 XSS

# 新手指南:DVWA-1.9 全级别教程之 SQL Injection (Blind)

# 新手指南:DVWA-1.9 全级别教程之 SQL Injection

# 新手指南:DVWA-1.9 全级别教程之 Insecure CAPTCHA

# 新手指南:DVWA-1.9 全级别教程之 File Upload

# 新手指南:DVWA-1.9 全级别教程之 File Inclusion

# 新手指南:DVWA-1.9 全级别教程之 CSRF

# 新手指南:DVWA-1.9 全级别教程之 Command Injection

# 新手指南:DVWA-1.9 全级别教程之 Brute Force

\6. 可以通过 CTF 比赛来进行安全的入门以及进阶。

CTF 简介 https://baike.baidu.com/item/ctf/9548546?fr=aladdin

CTF 包含 Web,逆向,pwn,密码学,杂项(数据隐藏,流量分析,以及一些特别新颖的技巧等等)几个方向,所以如果发现自己对其他方向更感兴趣也是可以学习的,初期建议是找一门自己感兴趣的进行深入,再去学习其他方向的。

入门阶段看完题目一般是不会做的,可以去网上搜索 XXXwriteup,结合 wp 里面出现的知识点进行学习,知识点比较繁杂,慢慢来。

入门推荐平台:南京邮电大学网络攻防训练平台

插个广告,南邮 CTF 交流群:893849151

进阶推荐平台:攻防世界

Jarvis OJ

\7. 关于学习到后面的一些建议:

熟悉常见 Web 框架,如 Thinkphp,Laravel,flask,Django 等等

掌握一定的逆向技能,编码知识,因为获取的数据有时是进行过处理的,为了顺利的进行下去,需要你讲这些数据还原。

密切关注最新消息,刷 src 用得到(误)

开发技能不可少,按需定制是不可避免,而且在开发的过程中,也会对漏洞成因,利用方法产生更深的理解

掌握更多的数据库,因为你会遇到的不只是 Mysql 数据库,还有诸如 Access,redis,mongodb 等等

学习代码审计,熟悉语言特性,因为漏洞经常是由语言特性所引起的,熟悉常见危险函数及其利用方法

Emmmm 玩玩杂项也是不错的《数据隐藏技术揭秘》

一些推荐网站:Freebuf

华西安全乌云镜像

知道创宇 seebug

安全客

补天

XCTF-Time

I 春秋

XCTF 实训平台

先知社区

# Web 安全相关概念

熟悉基本概念(SQL 注入、上传、XSS、CSRF、一句话木马等)。

  1. 通过关键字(SQL 注入、上传、XSS、CSRF、一句话木马等)进行 Google/SecWiki;
  2. 阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;
  3. 看一些渗透笔记 / 视频,了解渗透实战的整个过程,可以 Google(渗透笔记、渗透过程、入侵过程等);

3 周

熟悉渗透相关工具
熟悉 AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan 等相关工具的使用。

  1. 了解该类工具的用途和使用场景,先用软件名字 Google/SecWiki;
  2. 下载无后门版的这些软件进行安装;
  3. 学习并进行使用,具体教材可以在 SecWiki 上搜索,例如:Brup 的教程sqlmap
  4. 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;

5 周

渗透实战操作
掌握渗透的整个阶段并能够独立渗透小型站点。

  1. 网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL 注入视频、文件上传入侵、数据库备份、dedecms 漏洞利用等等);
  2. 自己找站点 / 搭建测试环境进行测试,记住请隐藏好你自己;
  3. 思考渗透主要分为几个阶段,每个阶段需要做那些工作,例如这个:PTES 渗透测试执行标准
  4. 研究 SQL 注入的种类、注入原理、手动注入技巧;
  5. 研究文件上传的原理,如何进行截断、双重后缀欺骗 (IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架
  6. 研究 XSS 形成的原理和种类,具体学习方法可以 Google/SecWiki,可以参考:XSS
  7. 研究 Windows/Linux 提权的方法和具体使用,可以参考:提权
  8. 可以参考: 开源渗透测试脆弱系统

1 周

关注安全圈动态
关注安全圈的最新漏洞、安全事件与技术文章。

  1. 通过 SecWiki 浏览每日的安全技术文章 / 事件;
  2. 通过 Weibo/twitter 关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下;
  3. 通过 feedly / 鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累),没有订阅源的可以看一下 SecWiki 的聚合栏目
  4. 养成习惯,每天主动提交安全技术文章链接到 SecWiki 进行积淀;
  5. 多关注下最新漏洞列表,推荐几个:exploit-dbCVE 中文库Wooyun 等,遇到公开的漏洞都去实践下。
  6. 关注国内国际上的安全会议的议题或者录像,推荐 SecWiki-Conference

3 周

熟悉 Windows/Kali Linux
学习 Windows/Kali Linux 基本命令、常用工具;

  1. 熟悉 Windows 下的常用的 cmd 命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill 等;
  2. 熟悉 Linux 下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo 等;
  3. 熟悉 Kali Linux 系统下的常用工具,可以参考 SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
  4. 熟悉 metasploit 工具,可以参考 SecWiki、《Metasploit 渗透测试指南》。

3 周

服务器安全配置
学习服务器环境配置,并能通过思考发现配置存在的安全问题。

  1. Windows2003/2008 环境下的 IIS 配置,特别注意配置安全和运行权限,可以参考:SecWiki - 配置
  2. Linux 环境下的 LAMP 的安全配置,主要考虑运行权限、跨目录、文件夹权限等,可以参考:SecWiki - 配置
  3. 远程系统加固,限制用户名和口令登陆,通过 iptables 限制端口;
  4. 配置软件 Waf 加强系统安全,在服务器配置 mod_security 等系统,参见 SecWiki-ModSecurity
  5. 通过 Nessus 软件对配置环境进行安全检测,发现未知安全威胁。

4 周

脚本编程学习
选择脚本语言 Perl/Python/PHP/Go/Java 中的一种,对常用库进行编程学习。

  1. 搭建开发环境和选择 IDE,PHP 环境推荐 Wamp XAMPP,IDE 强烈推荐 Sublime,一些 Sublime 的技巧:SecWiki-Sublime
  2. Python 编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python 核心编程》,不要看完
  3. 用 Python 编写漏洞的 exp,然后写一个简单的网络爬虫,可参见 SecWiki - 爬虫视频
  4. PHP 基本语法学习并书写一个简单的博客系统,参见《PHP 与 MySQL 程序设计(第 4 版)》、视频
  5. 熟悉 MVC 架构,并试着学习一个 PHP 框架或者 Python 框架(可选);
  6. 了解 Bootstrap 的布局或者 CSS,可以参考:SecWiki-Bootstrap;

3 周

源码审计与漏洞分析
能独立分析脚本源码程序并发现安全问题。

  1. 熟悉源码审计的动态和静态方法,并知道如何去分析程序,参见 SecWiki - 审计
  2. 从 Wooyun 上寻找开源程序的漏洞进行分析并试着自己分析;
  3. 了解 Web 漏洞的形成原因,然后通过关键字进行查找分析,参见 SecWiki - 代码审计高级 PHP 应用程序漏洞审核技术
  4. 研究 Web 漏洞形成原理和如何从源码层面避免该类漏洞,并整理成 checklist。

5 周

安全体系设计与开发
能建立自己的安全体系,并能提出一些安全建议或者系统架构。

  1. 开发一些实用的安全小工具并开源,体现个人实力;
  2. 建立自己的安全体系,对公司安全有自己的一些认识和见解;
  3. 提出或者加入大型安全系统的架构或者开发;
  4. 看自己发展咯~

# 渗透测试

作者:Despair
链接:搞渗透是否需要掌握至少一门服务器脚本语言 还需要什么基础呢? 丰富的网络知识? - Despair 的回答
来源:知乎
著作权归作者所有,转载请联系作者获得授权。

咦~
渗透的话,我是菜鸟,其实不止渗透,其余的我都是菜鸟
首先你得会 html+js 吧,CSS 这里我不说了,能懂自然是好的
然后会 js 后,你就可以深入一下 XSS

  1. 《XSS 跨站脚本攻击剖析与防御》
  2. 《web 前端黑客技术揭秘》

之后你一个黑客而且还是 web 端的黑客,好意思不懂几门语言?首推 php 次推 python

为什么首推 php?

  1. 入门简单
  2. 玩 web 不会代码审计,好意思不?
  3. 资料多

学了 php 可以先暂停了,先别管代码审计,俗话说的好:未知攻,焉知防?
去看数据库吧,至少还能玩转 sql 注入

  1. MySQL
  2. MSSQL
  3. Oracle
  4. PostgreSQL
  5. Access
  6. SQLite

这些你至少得会一种,了解其他的吧?

然后就是看看各大论坛了,当然在这之前你得会 HTTP 协议

  1. SSS 安全论坛 - bbs.sssie.com | 官方论坛

  2. T00LS - 低调求发展

  3. *https://*http://forum.90sec.org

  4. **i 春秋论坛 | 白帽黑客论坛

    **

别光看,实践最重要!!!!!
别光看,实践最重要!!!!!
别光看,实践最重要!!!!!

然后你得了解最新的圈子里的信息

  1. **FreeBuf.COM | 关注黑客与极客

    **

  2. 安全客 - 有思想的安全新媒体

  3. http://www.hi-ourlife.com/

  4. 安全盒子 - 专注于互联网安全的科技媒体

恩,好,看到这里你需要一点动力了,没,去提交漏洞赚外快吧:

  1. 补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立 SRC,库带计划
  2. 漏洞盒子 | 互联网安全测试平台
  3. 漏洞银行 (BUGBANK) 官方网站

但是提交漏洞后,发现自己真没用,好多地方明明有漏洞但是,就是不会绕过和利用,明明该懂的都懂了啊?
好的,这时候你需要来一个 wooyun 镜像站来看看绕过姿势了

  1. **WooYun 搜索 WooYun 漏洞查询 乌云搜索功能 乌云漏洞搜索 WooYun 公开漏洞查询平台 wooyun 邀请码 乌云邀请码 WooYun.org 邀请码

    **

  2. 华西安全网 --wooyun 漏洞报告平台搜索 -- 乌云 WooYun 镜像站

事实上很多利用方式都会了后,还是感觉自己挖洞太慢,咋办?ok,这个时候就是你学习 python 和代码审计的时候了

python:

  1. **Python 官方文档中文站

    **

  2. 在线手册中心

  3. Python 论坛 - 国内最好的 Python 中文社区:Python 论坛 | Python 教程 | Django 教程 | Python 框架

代码审计:

  1. SSS 安全论坛 - bbs.sssie.com | 官方论坛
  2. T00LS - 低调求发展
  3. *https://*http://forum.90sec.org
  4. i 春秋论坛 | 白帽黑客论坛

额,好吧我会一点 Python 了,也会审计一下程序了,但是还是太慢啊。
OK,这时候你得会写 exp 哦

  1. **BugScan-- 漏洞插件社区

    **

  2. Seebug - 洞悉漏洞,让你掌握第一手漏洞情报!

恩,我会写 exp 了,然而这又有什么用呢?特征呢?特征在哪?
是时候展示真正的神器了:

  1. **http://www.zoomeye.org/

    **

----------------------------------------------------------------------------------------------
额,先到这里吧,其余的我也没涉及到,你说的提权,我也只会用 exp 和常见的提权方式,遇到防火墙就得阳痿的人

-------------------------------------------------------------------<2016.10.15 补充>---------------------------------------

还有一件事,你得明白 web 安全和渗透测试的区别

web 安全:顾名思义,就是 web 层面的安全,在不考虑远程溢出、C 段嗅探、铁锤砸机的情况下的安全

渗透测试:

最终目的是渗透

** 最终目的是渗透

**

最终目的是渗透

重要的事情说 3 遍

# WEB DOC

CTF 和 web
关于 X1cT34m
加入我们
阅读入门 DOC 前,以下内容你必须知道
入门 DOC
你需要掌握的技能 (编程、人际交流、思维模式、学习能力、学习方法等等方面)
你应该充分利用起来的资源
你该从哪些基础漏洞开始
sql-injection
文件上传
XSS
SSRF
PHP 相关漏洞
Python 相关漏洞
XXE
Java 相关漏洞
Javascript 相关漏洞
......
你将会用到的工具
虚拟机
抓包工具
网站目录扫描工具
网站后门管理工具
SQL 注入工具
XSS 接收面板(可以自己搭)
服务器管理相关工具
你该如何判断自己已经度过了萌新阶段
后续
联系方式
CTF 和 web
什么是 CTF?
CTF 的详细介绍
CTF 中的 web 安全?
关于 X1cT34m
我们是一个什么神秘的组织?
A student group of hackers
我们在做什么?
共同学习 Web 安全
Hack for fun
加入我们
WEB 方向需要的是乐于分享分享分享交流交流交流技术的、能独立思考并解决
技术难题的、能主动主动主动分担团队责任的小伙伴。
大一、大二的小伙伴们,如果你觉得自己已经有了足够的实力,我们随时欢迎你
的加入申请,同时 WEB 方向会在且仅在每年 3-4 月份进行一次正式的招新考核,
考核对于每个人都是公平的。
阅读入门 DOC 前,以下内容你必须知道

  1. 明确自己打 CTF 是为了娱乐,还是为了以后的工作发展
  2. 如果是为了工作,那么需要一颗非常有毅力的心
  3. 做好放弃周末休息时间的准备
  4. 你的绝大多数学习资料会来源于搜索引擎(百度,Google),也就是自学
    入门 DOC
    你需要掌握的技能 (编程、人际交流、思维模式、学习能力、学习
    方法等等方面)
    入门 DOC 的正确使用方法:
    a. WEB 组的小伙伴们提供了方向,提供了关键词,你们恰巧可以利用搜
    索引擎来查找相关内容,自主学习
    b. 但凡是各大 CTF 平台已经有的题目,用搜索引擎都能搜到 “【题目名
    称】-wp”
    c. 初期遇见的东西绝大多数都是没听说过的,只有不停的搜索,不停的
    学习,有智慧和礼貌的提问才能成长
    你需要学习语言的顺序:PHP->Python->Java
    你应该充分利用起来的资源
    【学习】Github
    【靶场】BUUOJ
    【靶场】南邮 0xCTF
    【靶场】南邮 CGCTF (可能访问不了,但是题目适合入门)
    【靶场】CTF.show 萌新计划
    【靶场】CTFhub 技能树
    【靶场】BugKuCTF
    【靶场】攻防世界
    【学习】CTF-Wiki-Web
    【学习】dalao 们的博客,这里推荐几个 wp 详细或者干货比较多的:
    k0rz3n ,smi1e,sky,y1ng,p 牛
    【学习】各大技术分享平台:先知社区,freebuf,安全客
    【学习】一些入门可以看的 web 安全相关书籍
    a. 《白帽子讲 web 安全》:可以通过这本书建立对 WEB 安全基本的整体
    概念(阅读需一定基础)
    b. 《web 安全攻防渗透测试安全指南》:干货较多(与第一本相比,侧重
    点为攻击手法),可以拿来填充自己的知识储备库
    c. 《web 安全深度剖析》:张炳帅著,各种漏洞都有介绍,个人感觉更适
    合新手
    d. 《内网安全攻防渗透测试安全指南》:内网渗透从入门到起飞,是
    《web 安全攻防渗透测试安全指南》的姊妹篇(推荐后期购买)
    你该从哪些基础漏洞开始
    首先,搭建一个本地网站,推荐使用 phpstudy
    ps:不一定都要自己本地搭建环境,一般是刷 CTF 题目的时候遇见了就去学,边
    打边学,以赛代练
    入门漏洞环境 DVWA
    sql-injection
    sql 注入靶场
    sqliabs-wp
    PayloadsAllthetThings
    MySQL 注入常见姿势总结(讲的比较全)
    文件上传
    文件上传漏洞靶场
    uploadlabs-wp
    文件上传漏洞小结
    XSS
    xss-labs
    xsslabs-wp
    那些年我们一起学 xss
    prompt 1 to win
    SSRF
    ssrf 学习记录
    PHP 相关漏洞
    php 是世界上最好(la ji)的语言,漏洞层出不穷,作为一名安全人员,熟练掌握 PHP 基本
    语法和相关漏洞是必要的,以下漏洞都需要 PHP 基础
    PHP 基础学习:B 站
    弱类型语言漏洞
    变量覆盖漏洞
    文件包含漏洞
    反序列化漏洞
    RCE 漏洞
    ……
    Python 相关漏洞
    flask 之 ssti 模版注入从零到入门
    flask SSTI 常见绕过姿势
    pickle 反序列化初探
    Python pickle 反序列化实例分析
    ……
    XXE
    一篇文章带你深入理解漏洞之 XXE 漏洞
    xxe-lab
    Java 相关漏洞
    Java 反序列化漏洞从入门到深入
    Java 反序列化漏洞原理解析
    Javascript 相关漏洞
    Node.js 常见漏洞学习与总结
    Nodejs 安全从入门到入土
    ......
    你将会用到的工具
    虚拟机
    vm 中安装 kali 的教程 VMware 是比较常用的虚拟机软件,安装 kali 的过程中会有关
    于 vm 的配置问题,这里挂的是 vm15 的 kali 教程
    kali 首先大部分所需要的工具 Kali 已经是集成好了的。不建议过度依赖工具,但是
    可以按需求使用。同时 kali 也是你熟悉 Linux 操作,或者简单渗透的一个大好机会
    抓包工具
    BurpSuit 使用手册(bp 到 52pojie.cn 找)
    网站目录扫描工具
    dirsearch
    御剑 自己找吧(我也不知道在哪下的😄)
    ctfwscan - 为 ctf 而生的扫描器
    网站后门管理工具
    AntSword
    Behinder
    SQL 注入工具
    尽量不要使用工具,手注更灵活、高效
    Sqlmap
    当然到了后面都是需要自己用 python 根据实际情况编写注入脚本
    XSS 接收面板(可以自己搭)
    BlueLotus_XSSReceiver
    XSS 小结
    服务器管理相关工具
    选择自己喜欢的:
    Termius 真的超好用。用 github 学生包直接免费领取。
    Xshell
    putty
    Xftp
    FileZilla
    你该如何判断自己已经度过了萌新阶段
  5. 攻防世界高手区第一页
  6. 0xCTF 刷到 600 分
  7. ……
    后续
  8. 跟着队伍多打比赛,保持活跃度
  9. 刷 XCTF 分站赛,看 CTF WEB 热点、趋势
  10. 多关注博客
  11. 准备校赛
    往届校赛 NCTF2018
    往届校赛 NCTF2019 的 web 题目
    BUUOJ 上面已有四道,Github 也有源码
    easyphp
    flask_website
    backdoor
    0xGame 新生赛 (预计 2020.10 月)
    NCTF2020 (预计 2020.11 月下旬)
    联系方式