!!!---多动手,只看只听是不行的---!!!
从今天起,开始更新网安小白的成长路线,系统的理清思路
新的一年,全新开始。
零,入坑须知:
1,防御是防不住的
~做两手准备,
~防御
~被攻破后怎么将损失降到最少
2,社会工程学的威力超乎想象
3,渗透的本质,打破安全的信任机制,也是渗透测试的核心
把钱存在银行,就选择了信任银行,但是有些人万一打破了银行,银行将不再安全,也就是信任机制出现了问题。
4,持之以恒的精神比悟性更重要
多阅读别人的思路
5,代码审计能力很重要(php,mysql,html,js)
一,web服务器通信原理
1,IP: 网络地址
~公网: 运营商分配
~内网: 路由器分配
10.~
172.16~172.32
192.168.0~
2,域名:
DNS:域名解析服务器(将域名与IP对应)
DNS劫持:将域名绑定假IP
3,端口: 接口
范围:1~65535 1~1024基本被win服务占用
4,MAC地址:路由器物理地址(可以伪造)
5,http与https
http 无连接 无状态(谁访问都一样,不对人只对事)
cookie(代表你的身份)
一串字符串,服务器分配的
6,常见服务器
linux :/etc/init# (区分大小写)
win Server C:Users\Admin\ (不区分)
macOS Server
7,web容器(理解:等于中间件)
主要功能:处理,存储和传递网页用户
IIS(win平台)
Apache(全平台)
Nginx(全平台)
二,快速自建web安全测试环境
1,动态语言
是对服务器行为的编程,服务器端的脚本
2,搭建网站
~安装web容器(apache)
~安装动态语言(php)
~安装数据库(mysql)
3,CMS 内容管理系统
本质上就是快速建站的模板
三,虚拟机的安装
用软件模拟的电脑
1,可以防止运行的软件留后门
2,web shell网站权限
0day未公布的漏洞
Nday已公布,但是未修补的