如何系统学习web安全，web渗透测试

发布网友 发布时间：2022-03-01 20:30

我来回答

共6个回答

懂视网 时间：2022-03-02 00:51

1、首先要知道Kali系统的基本使用方法。因为Kali系统里面会集成我们所需的一些工具。

Kali渗透测试系统，Kali Linux是专门用于渗透测试的Linux操作系统，它由BackTrack发展而来。Kali中集成了渗透测试所需的常用工具，是我们必须掌握的一项技能。

2、接下来需要学习sql注入相关的一些内容。

sql注入：当客户端提交的数据未作处理或转义直接带入数据库就造成了SQL注入，也就是用户提交了特定的字符导致SQL语句没有按照管理员设定的方式方法执行。

3、还有要学习xss跨站脚本攻击。

xss跨站脚本攻击危害：窃取用户cookie信息保存到远程服务器。

4、学习CSRF伪造用户请求。

CSRF（Cross-site request forgery，跨站请求伪造）也被称为one click attack（单键攻击）或者session riding，通常缩写为CSRF或者XSRF。

5、暴力破解常见服务，可以使用Hydra九头蛇，也可以使用美杜莎。

6、还要了解web网站里基于文件上传漏洞去如何获取webshell权限，在这里我们可以使用蚁剑加一句话木马去实现。

file upload，即文件上传漏洞，通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传漏洞带来的危害常常是毁灭性的，Apache、Tomcat、Nginx等都爆出过文件上传漏洞。

7、还有xxe漏洞任意提取，包括我们WiFi相关的一些安全。

8、掌握常用的漏洞扫描工具：Nessus、AppScan等工具。

9、还要了解linux下的渗透安全技术。

总结

渗透安全课程培训主要包括：

1、Kali系统的使用

2、sql注入

3、xss跨站脚本攻击

4、CSRF伪造用户请求攻击

5、暴力破解常见服务

6、基于文件上传漏洞获取webshell权限

7、xxe漏洞任意文件读取

8、无线安全

9、漏洞扫描分析软件

10、linux系统下的渗透安全技术

热心网友 时间：2022-03-01 21:59

首先得清楚web安全/web渗透是什么：模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。

涉及到的技术有：数据库/网络技术/编程技术/操作系统/渗透技术/攻防技术/逆向技术/SRC漏洞平台/ctf经验。。

岗位能力要求：

1、熟练使用awvs、nessus、metasploit、burpsuite等安全测试工具，并对其原理有一定了解

2、熟悉OWASP中常见的web安全漏洞、业务逻辑漏洞及其原理

3、熟悉渗透测试技术的整体流程，具备独立开展渗透工作的能力；

4、熟悉linux系统操作，了解常见web中间件、数据库、服务器相关漏洞

5、至少掌握一种编程语言，能够开发用于辅助日常工作的脚本

6、具备一定的php或java代码审计能力，能够对公开漏洞进行分析

7、具备良好的逻辑思维、沟通技巧及团队协作能力

8、已取得信息安全等级测评师证书的优先。（NISP）

想要系统的学习web渗透，可以参考企业对人才的要求进行学习。

热心网友 时间：2022-03-01 23:17

其实这个问题不是很好回答，我先按照我的思路发表下看法。
是计算机相关专业的话，你已经储备了足够的计算机网络相关的知识。
只需要去学习web安全的各种漏洞、产生的原理、以及修复方法就好
不是计算机相关的想要系统的学习，付出的时间和精力就是比较多了。
首先计算机网络原理、数据库原理与实现技术、汇编语言程序设计、网络设备、
网络的组建与设计、Java程序设计、网页制作技术、VB程序设计等课程。
其实也有其他的捷径，比如你可以确定一条学习的主线，web安全为主线的去学习、比如常见的高危漏洞、sql注入、XSS、文件上传、文件包含等，然后不懂的知识点，按照学习的主线去补充，就像是在一条主干上细分的枝芽、不停的去延伸！还有比如说去一些知识分享的群里学习，里面各种学习资源不说，不懂的地方还能和群友交流，比如说web渗透技术与网络安全，就是一个很好的学习q群。入门之后最好能学习一门语言、比如python、java等，我推荐你几本Web方面书。《SQL注入攻击与防御》，《Web渗透技术及实战案例》，《XSS跨站脚本攻击剖析与防御》，《Web之困》。

热心网友 时间：2022-03-02 00:52

学习几种基本的脚本语言。从一些简单的开始，比如说：vbs或Bash。
对取证有一定的了解。这会更好的掩盖你踪迹， 这对你的影响是显然的。
好好的学习一门编程语言。找出你想让它自动化完成的东西或者一些简单的你想创造的东西。比如端口扫描，你可以找一些类似的工具，看看它们的源代码，试着做出自己的端口扫描工具。学习的还有很多，huyoukeji。cn学习少量的数据库。学习数据库并了解它们是怎么工作的，下载各种数据库看看，查找资料并试着设计一个简单的数据库，不用成为数据库专家，了解基本知识将有很大的帮助。

热心网友 时间：2022-03-02 02:43

如何系统学习web安全和渗透测试？这得分是自学还是找培训机构。
自学的难度性比较大，本人最开始学习的时候是自学的，各种在网上白嫖学习资料，由于这个领域在最近新兴起来，学习资料特别少，花费了太多时间在找学习资料上，后面找了一个培训机构，系统的学习了3个月，效果特别好。

热心网友 时间：2022-03-02 04:51

我给你的意见是，先学语言，再学安全