网站渗透测试 该如何入门

从大学毕业的时分开端简略入门,写写神马收录域名网站程序代码,搞搞注入以及安全测验,到现在当安全工程师,差不多在安全行业成长了11年,发现不懂得问题随着实战浸透测验中十分多,仍是学到老干到老才是成功之道。当今年代的安全开展许多都是依托大数据去确保,而人工手动网站安全测验却被忽略了,只有当客户出了安全缝隙问题,才想起找人工进行全面的缝隙测验。

怎么入门安全浸透测验 ,本质上是怎么入门一个新的范畴。个人的见地是你能够从三个进程来递进学习。

1.清晰方针,学以致用

你首先要清晰学习安全浸透测验的方针,你是想打竞赛,仍是当个白帽挖洞,仍是想写个安全的代码,或是开源个安全软件等,方针不同,你的学习途径也是不同的。

不主张立即从基础学起,必定有人给你说学c,学数据结构,学算法,学汇编等等,其实这是不聪明的,方针导向:之前说的每一门都是个大学科,其实用到安全上的 并不多,假如你在暂时用的不多的内容上花费了许多时刻,那么你什么时分才能实现自己的方针呀,人的精力是有限的。

2.细化你的方针,制定详细的学习内容

例如我们定个方针,写一个PE的维护壳,那你首先要做的是什么呢?

先去google 查找 PE的维护壳有哪些种?比方紧缩壳,加密壳,虚拟机等等,难度凹凸怎么样?

对于入门者来说,紧缩壳相对简略,那就从这个开端学。

接着去google查找 开源的PE紧缩壳和相应的教程。发现PE紧缩壳有用汇编写的,有用C,C++写的,这个时分我们能够先挑选汇编来写。

然后就查询一下紧缩壳原理的教程和书本,比方书本引荐《加密与解密》,对比着开源壳的代码去理解,假如汇编不懂,找到一本汇编书,比方王爽的汇编入门书本,不要全看完,对比着壳代码 看到哪去学哪。

整体的学习进程变成了:

PE维护壳 -》 紧缩壳 -》 汇编紧缩壳 -》查找开源代码和原理教程 -》 对比着壳代码,看汇编书本理解

将方针越来越细化,你就越清楚自己做什么。

3. 反应

学习是一个不断反应的进程,你在第2步的学习进程中,作为初学者必定不会这么顺畅,看看开源代码也会遇到不懂得地方,自己写的代码的时分必定也会调试不通,这时分就接着去找资料,看书,调试,搞懂。

正常的学习进程一般是:

学习 -》使用-》反应-》接着学习

4. 引荐

竞赛仍是十分引荐的,为啥这么说呢?有两点吧。

接近实战的时机。现在网络安全法很严格,不像之前大家能瞎搞

题目紧跟技能前沿,而书本许多落后了。

假如你想打竞赛,直接去看赛题,赛题看不懂,根据不懂的地方接着去看资料。

共有 0 条评论

发表评论

邮箱地址不会被公开。 必填项已用*标注