同样的技术,为何别人总是能挖到漏洞 ?

常听前辈讲:如今学生,

才学1分,便觉知3分。

才学3分,便觉知7分。

若能达7分,方知才1分。

菜鸟和高手的区别,不完全在于你学了多少,更看你能否清晰认知到目前所处阶段,正确迸发出对下一阶段知识的渴望。

技术领域更是如此,才学一二,懵懵懂懂便提枪跃马,被马儿调戏一番便沮丧懊恼,轻则从头开始,重则放弃学业,岂不惜哉?

Web安全知识体系尤为复杂,下面我为大家做一个简易的知识盲区测试,若有三分以上答不上,还请诸位潜下心来求学吧。

扎心十问:

1.各种SQL注入类型:报错注入,布尔盲注,时间盲注,Dnslog盲注,二次注入,宽字节注入,还有伪静态SQL注入你都有了解吗?可否列举出更多注入方法?

2. sql xss xxe ssrf命令执行等无回显,如何测试证明漏洞存在?

3. php代码审计常见危险函数测试思路防御方法你了解多少?

4.下图sql fuzz过狗方法你会写吗?

5.XSS绕过各种方法方式,针对不同符号编码都尝试过吗?

6.各种XSS类型漏洞,各种场景XSS Bypass实战详解你知多少呢?

7.遇到不同操作系统不同环境提权问题是否都能解决?

8.从webshell到怎么到内网需要的种种技术和思路,你脑海里拥有几种?

9.主流的CMS ThinkPHP 框架代码审计学过没?时不时的爆出0day,能第一时间想到如何利用吗?

10.如无类似Wappalyzer这种可以识别网站的中间件,你能否用python随手写一个能轻易识别?

如果以上都不懂也没关系,你只需要躺在床上闭上眼睛,你就可以开始一键挖洞,一键提交,一键换取收益迎接白富美走上人生巅峰23333

那么问题来了,我该如何进阶为一名 Web 安全高手呢?

对于基础薄弱的人来说,一般都是从 XSS、SQL 注入等简单的漏洞研究入门的。除了了解各种相关的术语,还需要对于 Web 应用要有一个基本的认识。在这的基础上,对于 HTML、JavaScript 要有基础的了解和使用,它们是 Web 应用架构中最重要的基础元素。其直接运行在浏览器上,渲染出网页。随后,便需要进一步了解 Web 应用的数据是如何通讯的——输入及输出。

对于基础较强的人来说,理论必结合实践,不断摸索尝试,例如遇到常规漏洞都没有的情况下,那么可以考虑从逻辑漏洞下手,逻辑漏洞情况多种多样,实践的多了,再拿到一个授权的测试站点,你就会潜意识知道到漏洞的存在点。渗透起来就会得心应手,而且逻辑漏洞不会很难,如遇程序设计的缺陷我们就可以逆向猜测程序员开发程序的逻辑结构从而找到漏洞,且只需要一个抓包工具,你就可以进行对数据包的分析与测试。

常规漏洞:

1.任意用户注册/密码找回 2.逻辑越权漏洞 3.支付逻辑漏洞 4.逻辑设计缺陷漏洞 5.……

单单这几个就有几十种漏洞情况了?不怕告诉你。常见的密码找回就有十种了。若无名师指导,Web安全谈何学起。

Web安全工程师技能一览表,请看下面的思维导图(冰山一角)。

看到这里有没有想摔掉手机,合上电脑到天涯去流浪的冲动。。。

但既然你来到了网易Web安全进阶班,我们便不会辜负你的期望。

原文发布于微信公众号 - 程序员互动联盟(coder_online)

原文发表时间:2018-10-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

百度站长工具 https 认证成功全记录

21130
来自专栏大数据挖掘DT机器学习

如何用R语言从网上读取多样格式数据

第一部分:数据信息 生活中,我们面临着各种各样的数据:比如你的成绩单,比如公司的财务报表,比如朋友圈的一些状态,比如微信里的一段语音……我们生活的大数据时代的一...

41570
来自专栏FreeBuf

遨游浏览器把全球用户的这些数据偷偷传回了北京服务器

其实咱中国的Maxthon遨游浏览器在国际上也还是有一定知名度的,从StatsMonkey前年的数据来看,它在中国的市场份额排名第6,在波兰的份额也是第6。 最...

23690
来自专栏数据科学学习手札

(数据科学学习手札33)基于Python的网络数据采集实战(1)

  前面两篇文章我们围绕利用Python进行网络数据采集铺垫了很多内容,但光说不练是不行的,于是乎,本篇就将基于笔者最近的一项数据需求进行一次网络数据采集的实战...

50450
来自专栏温安适的blog

3个面试中遇到的问题

6月是个忙碌的月份,结完婚,处理完家事,也换了份工作。以至于6月都没有写blog,今天闲来无事,将之前面试的问题,以及一些感悟分享给大家。

18630
来自专栏大数据挖掘DT机器学习

如何用R语言从网上读取多样格式数据

第一部分:数据信息 生活中,我们面临着各种各样的数据:比如你的成绩单,比如公司的财务报表,比如朋友圈的一些状态,比如微信里的一段语音……我们生活的大数据时代的一...

36350
来自专栏涤生的博客

天池中间件大赛Golang版Service Mesh思路分享

这次天池中间件性能大赛初赛和复赛的成绩都正好是第五名,出乎意料的是作为Golang是这次比赛的“稀缺物种”,这次在前十名中我也是侥幸存活在C大佬和Java大佬的...

19740
来自专栏CDA数据分析师

一个 Pythoner的 Awesome List

? 从大三接触 Python 到现在几乎已经有两年的接触经验了,除去中间有一年左右接私活写写 Android 和 Lamp 之外,有 Python 实际项目开...

32160
来自专栏互联网技术栈

Dubbo 3.0 即将到来

据了解,新的 Dubbo 内核与 Dubbo 2.0 完全不同,但它兼容 2.0。Dubbo 3.0 将以 Streaming 为内核,而不再是 2.0 时代的...

12320
来自专栏知识分享

关于PLC高速计数器使用

今天去面试问我高速计数器,因为没用过,所以直接说--不会.但是自己感觉自己自学电气,说不会太丢人了,所以今天学了PLC的高速计数器.虽然没有书,但是有度娘,还有...

38490

扫码关注云+社区

领取腾讯云代金券