必備技能:
知識點:
一、常見數據庫
Oracle、DB2、SqlServer、MySql、Access ..等
二、前端基礎
JavaScript、CSS、HTML、ActionScript、Ajax、Jquery..
三、TCP/HTTP ..等協議
TCP、UDP、STMP、ICMP、ARP、
HTTP、SSL ...等
四、常見的上傳/解析漏洞與版本
IIS、Nginx、Apache、
Fckeditor、Ewebeditor ..等
五、旁註、C段、CDN
椰樹、御劍、layer ...
六、信息探測
端口、系統、DNS、域名、子域名、
目錄、二級目錄、語言、whois、
服務、Web容器、搜索引擎語法、
OA、Mail、旁站、C段、社工、
....等
七、漏洞利用
SqlMap、Metasploit、K8 ...
八、漏洞掃描/安全工具
AWVS、AppScan、Burp、Nikto2、
Vega、Safe3、WebInspect、
OWASPZAP、W3af、Netsparker、
Jsky、Nessue、WebScaerab、
N-Stealth、Weboecker ....
北極熊、椰樹、御劍、Wpsan、wwwscan、
WebRobot、bugscan、X-Scan、OpenVAS、
cmsmap、LiQiDiS、zap ...
九、邏輯漏洞
用戶密碼重置、資料重置、
任意購買、刷積分 ...
十、暴力破解
端口、HTTP登陸口 ...等
十一、XSS
存儲、反射、DOM
盲打、釣魚、記錄、XSS蠕蟲、
XSS GETSHELL、Flash XSS...等
十二、CSRF
Cookie、Session機制、HTTP協議
十三、命令執行
Struts2命令執行、ThinkPHP命令執行、
PHP命令執行 ...等
十四、文件包含
本地包含、遠程包含
...等
十五、注入
get注入、XML注入、Cookie注入、
HTTP請求頭注入、Json注入、POST注入
十六、內網與提權
FTP提權、數據庫提權、
啓動項提權、後門維持訪問、
虛擬主機提權、端口轉發、
端口映射、劫持、爆破、泄露、
域滲透、
....等
十七、0day挖掘
開源-代碼審計
非開源-逆向
安全產品(安全狗、護衛神、360)
十八、APT攻擊與社工
信息刺探、心裏學、潛伏能力、
針對性攻擊、攻擊的綜合運用
信息泄露分析 ....等
------------------------------------------
漏洞挖掘:
開源-代碼審計(Java、PHP ...等)
非開源-逆向(C/C++、C# ...等)
智能:(關鍵攻破點:可嘗試通信)
有通信就有數據包....
嘗試一切的可能連接無線網 Or 連接到你的電腦裏
(系統升級、功能操作 ...)
------------------------------------------
沒有滲透測試授權書情況下,一律算:攻擊、違法
學習滲透測試,最好不去攻擊以及試探別人的網站。
如果你想學習,請根據烏雲以及其他漏洞平臺,以及
你本地搭建網站進行漏洞復原等方式學習。
(千萬不要直接看別人的教程,你也跟着你嘗試攻擊)
或許你心是好,但是對方就咬死你是攻擊者!!!
小心謹慎...不要隨波逐流去模仿別人!
------------------------------------------
移動:安卓、OC、Swift
腳本:Python、Perl、Ruby、Go
Win應用:C#、C/C++
服務端:PHP、ASP.NET、JavaWeb、ASP
Web前端:CSS、HTML、JavaScript、Jquery、Ajax
Linux:Python、Perl、Ruby、C/C++、Java、ShellCode
破解:彙編、反彙編、C
-------------------------------------------
**********************************************************
https://trailofbits.github.io/ctf/ --介紹
-->(翻譯)http://blog.idf.cn/2015/02/ctf-field-guide/
**********************************************************
綜合:
http://wargame.kr/
http://www.ichunqiu.com/tiaozhans 《好多比賽題目都在裏面》
http://www.simplexue.com/ctf/index 《西普學院》
http://canyouhack.it/
http://fun.coolshell.cn/
Online CTF:http://ringzer0team.com/challenges
**********************************************************
i 春秋
http://www.ichunqiu.com/
網絡信息安全攻防學習平臺
http://hackinglab.cn/
白帽學院
http://www.baimaoxueyuan.com/
**********************************************************
idf 實驗室
http://ctf.idf.cn/
wechall
http://www.wechall.net/
**********************************************************合天
http://erange.heetian.com/
jctf
http://ctf.3sec.cn/
http://oj.xctf.org.cn/
**********************************************************
滲透:
米安網
http://ctf.moonsos.com/pentest/index.php
http://webhacking.kr/
四叔叔寫的一個http://hackit.sinaapp.com/
**********************************************************
xss:
http://prompt.ml/0
http://xss.pkav.net/xss/
XSS:http://www.doscn.org/xss/
XSS:http://xss-quiz.int21h.jp/
XSS:http://escape.alf.nu/
實訓平臺:http://202.108.211.5/
**********************************************************
逆向:
http://reversing.kr/
http://pwnable.kr/
http://exploit-exercises.com/
http://overthewire.org/
各種 writeup
https://github.com/ctfs/
bin 乾貨區
http://security.cs.rpi.edu/courses/binexp-spring2015/
各種賽事預告
https://ctftime.org/event/list/upcoming
繼續補充:
SQL:
https://github.com/Audi-1/sqli-labs
sql:
http://redtiger.labs.overthewire.org/
**********************************************************
http://ringzer0team.com/challenges --Online CTF
https://ctftime.org/ --ctf 競賽時間
https://time.xctf.org.cn/ctfs/ --X-ctfhttp://ctf.sobug.com/Steganography.php --SSCTF --四葉草
https://bctf.cn/#/about --百度 ctf
http://www.hackdog.me/writeup/ --redrain 大大
https://www.cyberchallenge.com.au/solutions.html --國外站點
http://www.alictf.com/ --阿里 ctf
**********************************************************
http://www.ichunqiu.com/ i 春秋 《推薦網站》
http://oj.xctf.org.cn/ --X-ctf 題目彙總
http://hackinglab.cn/ --網絡信息安全攻防學習平臺
http://hackgame.blackbap.org/ --習科
http://www.honyaedu.com/ -紅亞
http://www.wechall.net/ --ctf 外國站點
http://ctf.idf.cn/ --IDF 實驗室
http://ctf.3sec.cn/ --Jlu.CTF
http://erange.heetian.com/CTFrace.html --合天
http://www.simplexue.com/ --西普學院
http://1111.segmentfault.com/ --光棍節程序員闖關秀
http://www.helloisa.com/ --一個遊戲又友鏈了幾個遊戲
https://redtiger.labs.overthewire.org/ --外國站點 web_sql
**********************************************************
https://github.com/ctfs/ --git 上 writeup
http://bobao.360.cn/ctf/ --360 安全播報http://sec.yka.me/ --英文版 writeup
http://bobao.360.cn/ctf/learning/129.html --DUTCTF-2015-Writeup
http://ctf.idf.cn/index.php?g=portal&m=list&a=index&id=10 --writeup
https://ctf-team.vulnhub.com/ --國外 wp
https://www.91ri.org/9482.html --91ri
http://zhuanlan.zhihu.com/wooyun/19861125 --wooyun_writeup
http://drops.wooyun.org/?s=writeup&submit=%E6%90%9C%E7%B4%A2 --wooyun
**********************************************************
http://attach.blackbap.org/down/ --習科工具下載
http://forum.cnsec.org/thread-93930-1-1.html --ctf_tools
http://mdsec.net/wahh/tools.html --tool 下載
http://tool.lu/ --在線工具集合
http://m.blog.csdn.net/blog/winkar/42458273 --一部分
http://www.ibeast.com/content/tools/ciscopassword/ --passwd_break
http://www.yellowpipe.com/yis/tools/encrypter/index.php --編碼解碼
http://www.jsfuck.com/ --js_fuck
http://www.objectif-securite.ch/ophcrack.php --hash 破解
**********************************************************
http://217.logdown.com/ --217
http://www.blue-lotus.net --blue-lotus 藍蓮花
http://blog.0ops.net/ --0ops
http://le4f.net/ --le4f 大牛博客http://www.programlife.net/ --代碼瘋子
http://appleu0.sinaapp.com/ --apple 牛
http://www.syjzwjj.com/ --俊傑
http://blog.sycsec.com/ --三葉草
http://www.waitalone.cn/ --獨自等待
信息安全網站
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
kubeconfig 多個集羣配置 如何切換
kubectl config get-contexts kubectl config use-context <context-name> kubectl config current-context