推荐几本渗透测试的书,或者学习路径?
从狭义来说,渗透测试一般来说是针对Web层面的渗透,所以推荐:
- 工具书:Kali渗透测试,Metasploit渗透测试
- Web安全书籍:OWASP TOP10,web-hack-101,白帽子讲Web安全,Web安全之路,Web前端黑客技术与揭秘,黑客攻防技术宝典-web篇,SQL注入攻击与防御,XSS跨站脚本攻击剖析,Web安全深度剖析,Web应用安全权威指南 web安全书籍整理 - CSDN博客
- 推荐一些网站:Freebuf,Secwiki,ichunqiu
- 攻防环境:OWASP-ZAP,DVWA,owasp-open-juice,OWASP Broken Web Applications Project,Metasploitable
- Web基础:什么HTTP,HTML,JSP,PHP啊,可以来点Py等等
广义的渗透测试就范围广了,涉及所有层面,包括APP,Web,组件,系统,社会工程等等,只要你能够想到的攻击点,在点到即止的情况下进行渗透攻击
- 基础知识:要牢固,通信,网路,资料库,操作系统,Web,容器等等
- 安全工具:掌握主流工具
- 一门甚至2门开发语言:c和py
- 安全框架:包括渗透框架和防护框架,攻防一体
- 额外的报告能力,写的一首好报告
具体内容参考链接:
https://www.zhihu.com/question/53661103/answer/141226181
《黑客技术攻防宝典:web实战篇》一本足够了
在有基础的情况下,kali Linux高级渗透测试是个好东西。毕竟有句话说得好,kali用的好,入狱入得早(手动滑稽)sql注入攻击与防御 老外写的
大中型网站入侵要案 有点老了 不过很不错
??Web攻防之业务安全实战指南 写的很不错
代码审计 seay那本 具体名字搜下
以上都买过 良心推荐
一、入门
在学习的时候,你起码需要对常见的Hacker术语需要掌握,了解术语的话可以去看看这里的百度文库,写的还是可以,对大多数的Hacker术语都有过渡,而且对计算机网路原理需要有著一定的基础,所以务必要去学习一下。
二、了解渗透技术
了解完术语之后,再了解一些渗透技术和技巧,要本著对计算机技术研究的执著,而不是去恶意攻击、破坏别人的系统。
三、多思考
要有自己对常见漏洞的一些见解,不仅要学攻击技巧,也要在互联网学会保护自己,不要让自己的思维被现有的技术束缚住,需要自己动脑思考。
四、多动手实践
当你看了一两本书,对一些理论已经能理解了之后,在实战方面你依旧还是一穷二白的,建议还是多多实践,积累经验,建议是边动手边学习,不要纸上谈兵。
五、熟悉渗透工具的使用
比如:Hydra、medusa、sqlmap、AWVS、Burpsuite、Beef-XSS、Metasploit、Nessus、wireshark等安全工具,这些是在安全圈和渗透圈比较知名的渗透工具与平台,要多多熟悉和使用。
资料的话,我这里有很多