学逆向论坛

找回密码
立即注册

只需一步,快速开始

发新帖

17

积分

0

好友

1

主题
发表于 2020-10-25 13:19:57 | 查看: 7410| 回复: 3
        大家好,我是猫叔。先简单介绍一下猫叔本人,安全行业五年从业经验,其中三年安全研究员,两年企业安全高级讲师
       猫叔在这一两年经常会遇到很多想转行进入安全行业的人,有完完全全零基础的朋友,比如会计、老师、非计算机专业的学生等职业,还有很多运维人员、开发人员、计算机专业的学生,这么多人想转到安全行业,猫叔觉得无非一个原因:大家都觉得安全行业钱多发展好。真相也是这样,这几年国家从上到下开始重视安全的发展,猫叔也经历公司安全人员的边缘化到公司安全人员的核心化的过程,最直接的改变就是待遇已经翻了好几倍。

       人做事总要有点目的,猫叔也不能免俗。
       第一为了情怀,猫叔也经历过最初学习的痛苦,最后还是坚持了下来,因为前辈们在前面披荆斩棘,给后人留下了一条不断前进的道路,猫叔也想在这里感谢一下前辈大牛留下的文章和书籍。
       第二为了猫叔自己,猫叔希望自己在写文章的同时能温故知新,让猫叔对安全的理解更上层楼,也希望猫叔写出的文章能帮助到大家,这样猫叔就觉得这件事情有价值,获得些许成就感。
       以下是猫叔的文章大体框架,在以后会做微小的调整。
web安全篇
第一章 web基础
        万丈高楼平地起,学习渗透测试,基础是重中之重,在这一章猫叔会给大家讲解web方面的一些基础,跟着猫叔能学会:1.如何搭建一个网站,明白网站是如何运行的。
2.什么是脚本语言
3.什么是数据库,如何使用数据库。
4.什么是http协议,http状态码,http首部。
5.如何搭建渗透测试环境。
第二章 linux操作系统
        在渗透测试中,我们会经常遇到与我们常用的windows操作系统迥然不同的Linux操作系统,比如搭建在linux服务器上的网站,基于linux系统的渗透测试系统等等,linux在我们学习渗透测试的时候非常非常重要,所以在这一章猫叔会给大家讲解关于linux操作系统的基础操作。这一章大家能学会:
1.如何安装第一个linux操作系统
2.如何使用linux操作系统
3.如何使用linux操作系统进行渗透测试
第三章 sql注入
        前面两章跟着猫叔打好了基础,在第三章我们正式进入渗透测试的章节。这一章我们讲解web渗透中永恒不变的漏洞--SQL注入漏洞,在2017年OWASP TOP 10威胁中SQL注入漏洞位列榜首,跟着猫叔大家能学会:
1.什么是SQL注入漏洞及其产生原理
2.SQL注入漏洞的分类
3.通过SQL注入漏洞获取网站数据
4.通过SQL注入漏洞拿下网站的控制权限
5.通过SQL注入漏洞拿下服务器的控制权限
6.使用SQLMap进行SQL注入
第四章 任意文件上传
        文件上传是web网站中的一个常见功能,比如说论坛的头像上传、件上传等功能,这么常见的功能它又是如何成为漏洞的?在什么条件下会成为漏洞?
        在第四章,猫叔会给大家详细讲解web渗透测试中任意文件上传漏洞,在这一章大家能学会:
1.什么是webshell
2.什么是任意文件上传及其产生原理
3.网站对于文件上传的几种检测方式
4.如何绕过文件上传的防御Getshell
5.什么是解析漏洞,如何利用解析漏洞Getshell
第五章 PHP安全
        PHP是现在非常流行的一种Web开发语言。PHP存在很多历史遗留的安全问题。在PHP语言诞生之初,互联网安全问题尚不突出,许多今天已知的安全问题在当时并未显现,因此PHP语言设计上一开始并没有过多地考虑安全。时至今日,PHP遗留下来的历史安全问题依然不少。
        在本章,猫叔会给大家讲解web渗透测试中PHP安全常见的漏洞,在这一章大家能学会:
1.什么是命令执行漏洞及其产生原理
2.通过命令执行漏洞直接Getshell
3.什么是文件包含及其产生原理
4.文件包含的分类
5.通过文件包含任意读取文件
6.通过文件包含Getshell
7.PHP伪协议与文件包含漏洞
第六章 跨站脚本攻击-xss
        跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌。2017年OWASP TOP 10威胁把XSS列在第七位。本章将深入探讨XSS攻击的原理,以及如何正确地防御它。在这一章大家能学会:
1.认识javascript
2.认识cookie和session
3.什么是xss及其产生原理
4.利用xss进入网站后台
5.利用xss进行键盘记录
6.利用xss Getshell
第七章 xml实体注入攻击-xxe
        近年来在web漏洞挖掘领域,随着各类网站的服务接口的开放,xxe漏洞出现的次数大幅度增长。在第七章,猫叔会给大家讲解现在利用越来越多的xml实体注入攻击,在这一章大家跟着猫叔能学会:
1.什么是xml
2.什么是xml实体注入攻击及其产生原理
3.利用xxe任意读取文件
4.通过xxe进行内网渗透
第八章 服务器请求伪造攻击-ssrf
        任何一台机器都能发起请求,比如说个人电脑对网站发起访问请求、对一个网盘文件发起下载请求,那为什么在服务器发起的请求就会出现让人感到费解的漏洞?
        在第八章,猫叔会给大家讲解能够跨过外网web网站进行内网扫描和内网渗透的ssrf漏洞,在这一章大家能学会:
1.什么是ssrf及其产生原理
2.利用ssrf进行内网端口扫描
3.利用ssrf进行内网网站渗透
第九章 综合利用
        在最后一章猫叔会带领大家梳理前面八章讲解的知识点和漏洞,学会融会贯通综合利用,能够针对多种漏洞进行组合利用,完成从web渗透入门到进阶的跨越。也为后面猫叔会为大家讲解的内网渗透做好铺垫。

温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。

    发表于 2020-11-21 23:37:59
    在哪里看到的

      发表于 2021-10-6 23:11:43
      大佬讲的太好了。

        发表于 2021-10-22 22:13:02
        饮水思源,吃水不忘挖井人!

        小黑屋|手机版|站务邮箱|学逆向论坛 ( 粤ICP备2021023307号 )|网站地图

        GMT+8, 2024-11-23 17:53 , Processed in 0.149541 second(s), 51 queries .

        Powered by Discuz! X3.4

        Copyright © 2001-2021, Tencent Cloud.

        快速回复 返回顶部 返回列表