网站渗透测试、网站渗透测试、网站系统漏洞检测如何入门
网站渗透测试该怎样入门芒果云,百度站长工具,为你梳理了网站渗透测试如何入门的相关内容。
毕业后刚开始简单入门,写过网站编程代码,从事过sql注入及其安全测试。现在Sinesafe是一名注射安全工程师,类似于在安全领域十一年的发展。我发现我不明白伴随实战演练的渗透测试有很多问题,一直努力到老才是成功的秘诀。现在很多绿色开发都有互联网大数据做保障,却忽略了人工的网站安全测试。只有客户出现网络安全问题,才想到找人力进行全方位的系统漏洞检测。
安全渗透测试如何入门,本质上就是一个新行业如何入门。我的看法是,可以从三个过程来学习和训练。
1.目标明确,融会贯通
首先,你要确立学习和训练安全渗透测试的总体目标。你想玩CTF事件,做一个白帽子和挖CVE的洞,或者写一个安全代码,或者开源系统一个保护软件等等。总体目标不同,你的学习和训练方法也不同。
不建议马上从基础开始学。毫无疑问,有人认为学C,学算法设计,学优化算法,学汇编,其实是不智的。目标导向:前面说的都是大课,其实安全课不多。如果你已经在一些临时的内容上花费了大量的时间,你什么时候能够完成你的总体目标?人的生命力相对有限。
2.优化你的总体目标,制定实际的学习内容。
比如我们定一个总体目标,给PE写一个保护套,你先做什么?
先去谷歌搜一下PE保护套。有哪些种类?比如压缩壳,数据加密壳,vm虚拟机,难度系数怎么样?
对于初学者来说,压缩壳比较简单,就从这个开始学吧。
然后去github或者google搜索开源系统的PE压缩包以及相关的示例教程。发现PE压缩壳有效编译,用C和C写,这个时候可以先选择程序集来写。
然后看看压缩shell基本原理的示例教程和书籍,比如《加密与解密》这本书,和开源系统shell的代码对比一下就明白了。如果你不懂汇编,就去找一本汇编书,比如王爽的汇编入门书。不用全部看完,只要看到shell代码的地方就可以学习。
整个学习过程变成了:
PE保护套-“压缩壳”-“编译的压缩壳”-“开源代码和基本原理实例检索教程”-参考Shell代码,看编译的书籍了解。
你越优化你的总体目标,你就越知道你在做什么。
3.反馈
学习是一个不断反馈的全过程。你一直在第二步学习,作为新手想要成功无疑是不容易的。如果你看开源代码,你会遇到你不懂的地方。如果你自己写代码,无疑会调整拥塞。现在,去找资料,看书,调整,了解。
所有正常的学习过程通常是:
学习和培训-应用-反馈-然后学习和培训。
4.强烈推荐CTF
仍然强烈推荐CTF活动。为什么这么说?两点钟。
接近实战锻炼的机会。现在国安法很严,不像以前,人可以乱来。
问题是技术前沿,而很多书已经过时了。
如果你想玩CTF竞赛,马上看竞赛题。如果你不懂竞赛题,就按照你不懂的领域去看资料。
如果你想对你的网站或服务平台及其APP进行全方位的渗透测试服务,可以去找网站安全公司。中国强烈推荐SINESAFE、沈心、启明星辰和鹰盾安全等安全公司。
之上便是有关对网站渗透测试该怎样入门的详解。热烈欢迎大伙儿对网站渗透测试该怎样入门內容明确提出意见与建议欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)