!!!---多動手,只看只聽是不行的---!!!
從今天起,開始更新網安小白的成長路線,系統的理清思路
新的一年,全新開始。
零,入坑須知:
1,防禦是防不住的
~做兩手準備,
~防禦
~被攻破後怎麼將損失降到最少
2,社會工程學的威力超乎想象
3,滲透的本質,打破安全的信任機制,也是滲透測試的核心
把錢存在支付寶/微信/銀行,就選擇了信任他們,但是有些人萬一黑進了他們的服務器,
銀行將不再安全,也就是信任機制出現了問題。
4,持之以恆的精神比悟性更重要
多閱讀別人的思路
5,代碼審計能力很重要(php,mysql,html,js)
一,web服務器通信原理
1,IP: 網絡地址
~公網: 運營商分配
~內網: 路由器分配
10.~
172.16~172.32
192.168.0~
2,域名:
DNS:域名解析服務器(將域名與IP對應)
DNS劫持:將域名綁定假IP
3,端口: (簡單說就是接口)
範圍:1~65535 1~1024基本被win服務佔用
4,MAC地址:路由器物理地址(可以僞造)
5,http與https
http 無連接 無狀態(誰訪問都一樣,不對人只對事)
cookie(代表你的身份)
一串字符串,服務器分配的,日後仔細說,這有個概念就行了
6,常見服務器
linux :/etc/init# (區分大小寫)
win Server C:Users\Admin\ (不區分)
macOS Server (不常見)
7,web容器(理解:等於中間件)
主要功能:處理,存儲和傳遞網頁用戶
IIS(win平臺)
Apache(全平臺)
Nginx(全平臺)
二,快速自建web安全測試環境
1,動態語言
是對服務器行爲的編程,服務器端的腳本
2,搭建網站
~安裝web容器(apache)
~安裝動態語言(php)
~安裝數據庫(mysql)
3,CMS 內容管理系統
本質上就是快速建站的模板
建議:自己下載phpstudy與任意CMS搭建一個網站,很簡單
三,虛擬機的安裝
用軟件模擬的電腦
1,可以防止運行的軟件留後門
2,web shell網站權限
3,漏洞分類
~0day未公佈的漏洞
~Nday已公佈,但是未修補的
建議:
自己安裝VM與kali虛擬機,親手過一遍,有問題多百度谷歌
四、總結:
有能力的白帽子需要強大的學習能力(自學)與堅強的意志
三天打魚,不深入瞭解原理,僅會用工具只能成爲腳本小子