推薦幾本滲透測試的書,或者學習路徑?
從狹義來說,滲透測試一般來說是針對Web層面的滲透,所以推薦:
- 工具書:Kali滲透測試,Metasploit滲透測試
- Web安全書籍:OWASP TOP10,web-hack-101,白帽子講Web安全,Web安全之路,Web前端黑客技術與揭祕,黑客攻防技術寶典-web篇,SQL注入攻擊與防禦,XSS跨站腳本攻擊剖析,Web安全深度剖析,Web應用安全權威指南 web安全書籍整理 - CSDN博客
- 推薦一些網站:Freebuf,Secwiki,ichunqiu
- 攻防環境:OWASP-ZAP,DVWA,owasp-open-juice,OWASP Broken Web Applications Project,Metasploitable
- Web基礎:什麼HTTP,HTML,JSP,PHP啊,可以來點Py等等
廣義的滲透測試就範圍廣了,涉及所有層面,包括APP,Web,組件,系統,社會工程等等,只要你能夠想到的攻擊點,在點到即止的情況下進行滲透攻擊
- 基礎知識:要牢固,通信,網路,資料庫,操作系統,Web,容器等等
- 安全工具:掌握主流工具
- 一門甚至2門開發語言:c和py
- 安全框架:包括滲透框架和防護框架,攻防一體
- 額外的報告能力,寫的一首好報告
具體內容參考鏈接:
https://www.zhihu.com/question/53661103/answer/141226181
《黑客技術攻防寶典:web實戰篇》一本足夠了
在有基礎的情況下,kali Linux高級滲透測試是個好東西。畢竟有句話說得好,kali用的好,入獄入得早(手動滑稽)sql注入攻擊與防禦 老外寫的
大中型網站入侵要案 有點老了 不過很不錯
??Web攻防之業務安全實戰指南 寫的很不錯
代碼審計 seay那本 具體名字搜下
以上都買過 良心推薦
一、入門
在學習的時候,你起碼需要對常見的Hacker術語需要掌握,瞭解術語的話可以去看看這裡的百度文庫,寫的還是可以,對大多數的Hacker術語都有過渡,而且對計算機網路原理需要有著一定的基礎,所以務必要去學習一下。
二、瞭解滲透技術
瞭解完術語之後,再瞭解一些滲透技術和技巧,要本著對計算機技術研究的執著,而不是去惡意攻擊、破壞別人的系統。
三、多思考
要有自己對常見漏洞的一些見解,不僅要學攻擊技巧,也要在互聯網學會保護自己,不要讓自己的思維被現有的技術束縛住,需要自己動腦思考。
四、多動手實踐
當你看了一兩本書,對一些理論已經能理解了之後,在實戰方面你依舊還是一窮二白的,建議還是多多實踐,積累經驗,建議是邊動手邊學習,不要紙上談兵。
五、熟悉滲透工具的使用
比如:Hydra、medusa、sqlmap、AWVS、Burpsuite、Beef-XSS、Metasploit、Nessus、wireshark等安全工具,這些是在安全圈和滲透圈比較知名的滲透工具與平臺,要多多熟悉和使用。
資料的話,我這裡有很多
![]()
![]()
![]()
需要資料參考下圖找我來拿
from sklearn.model_selection import train_test_split
from sklearn.datasets import load_iris
from sklearn.neighbors import KNeighborsClassifier
# Load iris file
iris = load_iris()
iris.keys()
print(f"Target names:
{iris.target_names} ")print(f"
Features:
{iris.feature_names}")# Train set e Test set
X_train, X_test, y_train, y_test = train_test_split(
iris["data"], iris["target"], random_state=4
)
# KNN
knn = KNeighborsClassifier(n_neighbors=1)
knn.fit(X_train, y_train)
# new array to test
X_new = [[1, 2, 1, 4], [2, 3, 4, 5]]
prediction = knn.predict(X_new)
print(
"
New array:
{}""
Target Names Prediction:
{}".format(X_new, iris["target_names"][prediction]))
1.學習如何使用搜索引擎
2.養成閱讀計算機學術論文的習慣。
3.徹底喫透計算機組成原理。
4.喫透嵌入式這門課程
5.喫透Linux所有代碼
6.喫透信號與系統等等電子信息相關知識,晶元網路兩手抓。
7.熟練使用C,彙編,Python,PHP, 知道他們的運行原理,編譯原理,知道各種可執行文件的格式,鏈接原理,要熟練做到看一行代碼,就能知道系統調用了什麼資源,內存是怎麼分佈的,用了什麼數據結構,反編譯出來是啥樣的,等等,從本質上了解各種意義上的shell是怎麼回事,知道各種漏洞的本質。
8.再次系統瞭解整個網路協議系統,要喫的透透的。
9.各種資料庫要拿來就用,深入瞭解他們的演算法以及原理。
10.閱讀各種網路架構代碼,各種web相關的開源代碼,搞懂原理,其實到了這裡自己就知道自己要做什麼了。
上面講的是對於系統學的建議
如果你是小白
直接實戰是最好的方法
因為這樣能快速提高水平
理論和實際差距是特別大的
簡單分享到這裡,感興趣的可以來找我拿一些這方面的乾貨資料
參考下圖找我交流
public void setWordMap(Element tok,Map& wordMap) {
String type,text;
List&&> list;
if (!(tok.getName().equals("tok"))) {//如果不是tok節點,那麼就不用處理了
return ;
}
//獲取屬性type
type = tok.attributeValue("type");
//只訪問原子節點
if (type.equals("atom") isGroup) {
text = tok.getText();
text = text.replace(" ", "");
text = text.replace("
", "");/*System.out.print(text + " ");*/
strTemp = strTemp + text;
} else if (type.equals("group")) {
isGroup = true;
strTemp = "";
list = tok.elements();
for (int k = 0,size3 = list.size();k &< size3;k++) {
tok = (Element)list.get(k);
setWordMap(tok,wordMap);
}
Integer count = wordMap.get(strTemp);//計算當前map裡面的當前text對應的次數
wordMap.put(strTemp,count == null?1:count + 1);
isGroup = false;
}
}
public void keepEmotionWord(Map& wordMap) {
Set& word = wordMap.keySet();
for (Iterator it = word.iterator();it.hasNext();) {
String tmp = (String)it.next();
//兩個情感詞典都不包含這個詞語,那麼就把這個詞語去掉
if (!positiveDict.contains(tmp) !negativeDict.contains(tmp)) {
it.remove();
}
}
}
public void readEmotionWord(Set& Dict, String dictPath) {
File file = new File(dictPath);
BufferedReader reader = null;
try {
String t;
reader = new BufferedReader(new FileReader(file));
while ((t = reader.readLine()) != null) {
Dict.add(t);
}
} catch (IOException e) {
e.printStackTrace();
} finally {
if (reader != null) {
try {
reader.close();
} catch (IOException e) {
}
}
}
}
}
網路基礎,腳本語言Python或者php。低層逆向二進位彙編語言
黑客大曝光,wireshakr抓包分析第三版(最新的買),白帽子講web,工具書可以買來看看,kali,nmap,msf等(結合官方開發文檔),黑客攻防寶典(有一定知識再看不然會有點看不懂)。能看英文版最好看英文版防止翻譯錯誤,一般都買國外著作。
買點數學物理書來做,提升點數學物理知識練練腦
網路基礎知識和語言要會,很多都是要包數據分析的
白帽子講web太經典了!
推薦閱讀:
