APP渗透测试 漏洞快速上路指南

对新知识的学习，应该明确三点：学些什么？怎样去学？三是及时复习。本文以这三点为基础，围绕信息安全学习过程展开论述。大型目标点，在新知识的学习中，明确学习目标是第一件要做的事，有目标才知道自己该往哪里走。但是对新人来说，在无人指导的情况下，明确目标这一步会比较迷茫，所以个人建议如下：

根据OWASPTOP10文件中所总结的漏洞类型来设定目标。但其中一些项目还比较杂糅需要在这一点上继续分化下去，分化的问题放在下一部分来解释,二是培训机构的白嫖课程大纲。这一点，我也是在看别人分享学习经验的时候得到的，原则上，我不推荐培训机构的教学大纲对于帮助快速确定学习目标，无论是在线还是线下的培训机构在询问有什么课程时，都毫不忌讳。三是网上导读文章学习。网上的大部分入门文章都是因为推荐书中有细分知识点，所以文章中没有明确的要学习的点。所以这篇文章对于目标的初步确立并不重要，但一定要参考文章里面推荐的书籍来帮助自己建立目标。

小小的知识点

了解了应该学的知识点后，那么针对这些知识点又应该从哪个方面入手呢？这些经验都是我在良哥学习时总结下来的。共有三个要点：一、造成漏洞的原因？如何利用这些漏洞呢？三、如何防范这些漏洞？在原则上——利用——补习这三个方面进行学习。

如何学习?老问题了，标准答案当然是对搜索引擎的好。搜索漏洞的原理、利用方式、如何防御以获取详细的知识内容，优秀的社区如T00ls、先知又或freebuf、安全客等门户网站都有很好的文章。问题解决后，知识内容就成为实践的东西，但是对于初学者来说，环境总是最难解决的问题。有人建议，可以首先在Windows虚拟机上利用phpstudy，然后结合综合的基础漏洞平台dvwa来学习。一方面是因为环境搭建简单，不容易在环境搭建这方面碰壁，另一方面是因为环境搭建的漏洞非常基础，所以能有效的看出成功，进而保持学习的兴趣。但随后一定要再次手工搭建linux系统下的环境，以加深自己对网站架构的理解，知道组成Web应用程序的那些部分。这可以帮助自己了解出各种漏洞出现问题的地方。当综合漏洞学习完成后就是专项漏洞的学习，综合漏洞毕竟还是比较基础的，要对所学知识点进行更深入的练习需要更具体的环境，靶场推荐.

而在这些漏洞的学习中，则需要相应地加强基础知识，比如编程语言的学习，各种协议的学习等等。基本知识和完成漏洞的学习后，就可以考虑尝试在实际场景中测试或在CTF中锻炼自己。由于自身也在这个阶段，所以不能为这些内容提供有效的帮助。真实的漏洞挖掘在学习CTF中的同时，关注一些最新的漏洞动态或者大佬们关于漏洞的研究文章，积极动手，重新学习相关的漏洞。这个学习的东西会很杂，所以我们要把学习的内容分类，这样才能对自己的知识有一个结构化的了解，知道自己的不足之处，方便自己查漏补缺。

其实在这个方面没有什么特别的办法，只有靠自己坚持。但是如果看了自己的文章觉得比较惭愧，或者不能静心的话，可以记下自己每次查阅资料的地址，对这些资料的内容再学习。也希望在安定了生活状态后，自己可以多花点时间来总结和分享。如果想要对自己网站或APP进行渗透测试的话可以去看看SINESAFE,鹰盾安全，启明星辰，绿盟等等这些安全公司来处理。