Web 安全与渗透测试工程师应该学习哪些知识,他学习的内容知识流程是怎样的?

WEB安全与渗透测试工程师应该学习哪些知识,他学习的内容知识流程是怎样的?希望大家能推荐那种从WEB 安全入门的书到慢慢深入的书!

慕容庄:

基础知识:各类语言要能做到能看懂。前端的HTML,JavaScript,后端的 PHP,ASP,aspx,JSP等等。能做到70%的开发水平。数据库,通用的SQL语言要掌握,但是具体到不同的数据库 MySQL,mssql,Oracle等等,明白各自的特性。做到50%的dba水平。之后就是web平台,Apache,tomcat,IIS等,能自行假设和按需配置。能做到80%的运维水平。系统主要就是win 和 Linux,和运维类似。包括该平台下,其他常见的应用。80%运维水平。最重要的是,你可以不精通,但是在要用的时候,你的基础知识可以让你很快的理解并学会。

有了以上就算入门了,可以学web渗透技术了。这里不涉及内网渗透。owasp top 10总结的很好,主要就是这几个大类注入,xss,等等等等,网上资料一大把,也可以查阅白帽子。社会工程学很重要,自己思考吧。工具,尽量少用,就推荐wwwscan和burpsuite,额,还有Google。用好了就能搞定国内大多数web了。其他的不是说不能用,前提是你知道他做了什么,怎么做的。工具只是在帮你简化重复的工作而已。还有各种小技巧,慢慢摸索吧。实战出真知。………………………………………………………………再扯点高级的大数据社工库,甚至…… 这是渗透利器,你可以没有,但是你需要积累。心理学,学会如何分析一个人。记住,网站可以没有弱点,但是人,管理,一定有弱点。信息(情报)的搜集整理技术,高效的发现信息,整理信息,利用信息,非常关键。攒人品,平时待人接物要和善。总结一下。技术只能帮你发现漏洞,思路才决定如何利用漏洞。所以关键还是思路,牛逼的技术只是点,牛逼的思路才能把这些点连起来变成面,那时候,就要当心被拉去喝咖啡了!

陈航:

一个走向不惑之年的大叔:

要学的知识有很多,目前WEB应用主流的是PHP,JSP,以及.NET,你至少要对这些WEB应用有一定的了解,另外这些WEB应用都少不了JS(JavaScript),因此你还要对这块知识域有所学习,而目前无论大小网站后台都有数据库,如:MSSQL,MySQL,Oracle.....,你还要对数据库这块的知识有所了解,然后才好在以后的渗透工作中对SQL注入,XSS注入等知识理解透彻,只有明白了原理才能更好的开展工作。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171228G02V8H00?refer=cp_1026

扫码关注云+社区