前言
从去年暑假参加的夏令营开始接触到网络安全到现在也有整整一年时间了。
一年过得很快,马上就大三了,自己并没有拿得出手的成绩。
一年也过得很慢,常常蹲在电脑前面看教学视频、看大佬的博客;常常因为学无所获而失落;常常因急于求成而顾此失彼。
常因所学知识无施展之地而困惑;常为懒惰找借口、常为失败找理由;常常自嘲来掩饰学无所成;常常·······
独自在这条路上探索确实很幸苦。不过所幸,这一年来还是有所提升。
下面对这一年做一个小总结吧。
学习之路初探
学习网站
网站 | 地址 | 原因 |
B站不只是个看动漫的地方 | ||
菜鸟 | 上面有很多成套的教程 |
论坛
网站 | 地址 |
先知 | |
i春秋 | |
各大资料收集平台
网站 | 地址 |
洞见网安 | |
渗透师导航 | |
安全热点 |
书籍
书名 |
《XSS跨站脚本攻击剖析与防御》 |
《WEB前端黑客技术揭秘》 |
《白帽子讲WEB安全》 |
《WEB攻防之业务安全实战指南》 |
《鸟哥的Linux私房菜》 |
建议还是看纸质书,电子书排版基本上都有问题。
我的学习方法
- 首先看一个安全入门的视频(B站上一大把,随便挑一个看看吧,都差不多),对网络安全有一个浅显的认识
- 针对某一个方面进行深入了解,比如说 XSS 吧,集中花时间只学这一个点,定个小目标,先挖他 100 个 XSS 漏洞(夸张了),然后继续下一个点
- 学一些编程语言(Python、JS、PHP),有基础学习起来还是挺快的,一通百通
- 学习使用一些工具
- 复现一些漏洞,了解常见 CMS 的历史漏洞、中间件漏洞
- 多关注一些大师傅的博客、公众号等等
- 了解操作系统的基础命令、操作
- 建议学的时候可以写一写总结,写一写博客,这样确实能加深自己对某些点的认知,在查找资料时也能进一步学习
具体路线
既然是 WEB 安全的话,肯定是从 WEB 入手
H5
建议上 菜鸟 看教程就好了,了解有哪些标签,这些标签有什么用就好了。再学一学 JS、CSS
HTTP 协议
买一本书看看吧,比如:图解HTTP协议
XSS
推荐博客:
名称 | 地址 |
http://www.legendsec.org/1871.html#post-1871-_Toc495857149 | |
- SQL 注入
推荐博客:
名称 | 地址 |
注:由于我没有太深入了解 sql 注入,所以有点少 |
- 文件上传
推荐博客:
名称 | 地址 |
文件上传 |
- 文件包含
推荐博客:
名称 | 地址 |
https://github.com/vulhub/vulhub/blob/master/php/inclusion/README.zh-cn.md | |
- CSRF
推荐博客:
名称 | 地址 |
- SSRF
推荐博客:
名称 | 地址 |
https://joychou.org/web/phpssrf.html#directory099269053851112076 | |
https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html | |
https://qclover.cn/2019/09/16/SSRF在有无回显方面的利用及其思考与总结.html | |
- XXE
推荐博客:
名称 | 地址 |
http://gv7.me/articles/2018/think-about-blind-xxe-payload/ | |
- JSONP 劫持与 CORS 配置错误
推荐博客:
名称 | 地址 |
- PHP 反序列化
推荐博客:
名称 | 地址 |
https://www.cnblogs.com/20175211lyz/p/11403397.html#六phar反序列化 | |
https://github.com/80vul/phpcodz/blob/master/research/pch-013.md | |
- CRLF & XPATH 注入 & DNS 域传送漏洞
推荐博客:
名称 | 地址 |
小众漏洞合集 |
- HTTP 请求走私
推荐博客:
名称 | 地址 |
http://blog.he4rt.me/2019/08/20/HTTP-Request-Smuggling-Part-1/# | |
- HPP HTTP参数污染
推荐博客:
名称 | 地址 |
- 逻辑漏洞
推荐博客:
名称 | 地址 |
- OAuth2.0 认证错误
推荐博客:
名称 | 地址 |
http://www.ruanyifeng.com/blog/2019/04/oauth_design.html | |
http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html | |
- FUZZ
推荐博客:
名称 | 地址 |
- 骚操作
推荐博客:
名称 | 地址 |
未完待续
还有很多东西都没有接触过,写的博客大多是对看过的文章做的总结,很少能有自己的想法,思路很难拓展,我想应该也是学得不过多,学得不够深,希望接下来得日子能好好努力,戒骄戒躁。
现在也在慢慢开始接触内网了,虽然说 WEB 前端也学得也不咋地,之后一边学内网一边好好巩固之前所学知识吧。
内网方面,大师父们优秀的博客(请忽略我不要脸地将自己的文章也悄悄塞在里面)到时候也会一边学一边慢慢加上去。
感谢一同前行的师傅们,也感谢各位花时间看了我的博客,给我提的改进意见与指导。接下来一起努力。