学习视频来自B站UP主 泷羽sec,如涉及侵泷羽sec权马上删除文章
渗透思路
信息搜集
漏洞扫描
漏洞挖掘
开始攻击
权限维持(持久化)
权限提升
免杀隐藏
横向移动
痕迹清理
安全见闻(1)
常用的编程语言:C语言、C++、Java、Python、Javascript、C#、Ruby、PHP、Go、Swift、Kotlin、Haskell、Lisp、Clojure等
学习渗透测试有帮助的:
【1】python:
1.网络扫描与漏洞检测
2.网络爬虫
3.渗透测试
4.密码管理和哈希等
【2】javascript:
1.跨站脚本攻击(XSS)
2.跨源资源共享(CORS)控制
3.内容安全策略(CSP)
4.HTTPS加密通信等
【3】PHP(如果还有精力可学习)
1.Web 开发(如 WordPress、Laravel 框架)
2.服务器端脚本编程(如处理表单数据、生成动态网页)
【4】C、C++适合后期研究逆向
软件程序包括:
Web程序
二进制程序
驱动程序
上位机
脚本
操作系统
裸板程序
机器学习
量子计算
工程程序等
安全见闻(2)
什么是软件程序代码
软件程序是一种计算机程序,用于计算机计算和其他可编程设备。其实就是我们常说的代码,不论是什么软件程序都是由代码组成的。
所以不论是什么网页设计 前端后端 底层逻辅都是代码,不要去分它 没有必要去分,哪个快速快捷我们就用那个,python能做的就不要用c,越简单的编程语言越实用,因为其本展都是让计算机去做同样一件事,不要把事情复杂化。
** Web**
通常构成 前端-后端-数据库-服务器 基本是这些 url 请求执行 后登陆,这时候就要调用数据库的数据,服务器上的数据。
后边web安全入门会讲这些的一定 要把这些搞懂
**语言**
html (点击劫持)
xss (也有注入)
JavaScript (xss dom型 反射型存储型点击劫持,请求走私)
搞web渗透这些东西都是得学的
**代码库**
JQuery
bootstrap
elementui
代码库:代码库是应用程序、软件组件或软件系统的源代码集合,可以存储在不同类型的源代码存储库中。我们可以封装成一些库让它很方便的去调用。
** 框架**
vue
eact..
框架不论怎么写都是基于最本质的的三种语言写的html、css,、javascr ipt。如果单纯从纯粹的Javascr ipt去分析很费时间,一般都是通过框架去分析xss 框架多如牛毛 (知道就行)。
** 前端**
潜在漏洞:信息泄露、xss、csrf、点击劫持、访问控制、web缓存漏洞、跨域漏洞、请求走私等。
** 后端**
替在漏洞:信息泄露、xss、 csrf、 ssrf,、反序列化漏洞、sql注入漏洞、 命令注入漏洞、服务端模板注入、跨域漏洞、访问控制。
语言:php、java、python、golan、c/c++、、lua、nodejs。
后端语言有很多,比如php就会有反序列化漏洞,sq|注入漏洞, 命令注入漏洞等问题,所以语言是很重要的如果你连后端语言都没写过怎么知道啥叫反序列化呢要想搞这些漏洞 以上语言必须学一 种,比如请求走私就是涉及到协议问题了。
**数据库**
最常见的有:MySQL、PostgreSQL、Oracle Database、Microsoft SQL Server。
数据库潜在漏洞:sql注入、 xss、 命令注入等。
数据库也是有分类的
【1】关系型数据库
. mysq I、sql sever、access、postgresql
【2】非关系型数据库
. mongodb、couchdb、neo4j、redis
服务器程序
apache
nginx
iis
tengine
tomcat
weblogic
潜在漏洞:信息泄露、文件上传漏洞、文件解析漏洞、目录遍历、访问控制等。
本文转载自: https://blog.csdn.net/weixin_44334319/article/details/143311373
版权归原作者 洛河图 所有, 如有侵权,请联系我们删除。
版权归原作者 洛河图 所有, 如有侵权,请联系我们删除。