推薦幾本滲透測試的書,或者學習路徑?
從狹義來說,滲透測試一般來說是針對Web層面的滲透,所以推薦:
- 工具書:Kali滲透測試,Metasploit滲透測試
- Web安全書籍:OWASP TOP10,web-hack-101,白帽子講Web安全,Web安全之路,Web前端黑客技術與揭祕,黑客攻防技術寶典-web篇,SQL注入攻擊與防禦,XSS跨站腳本攻擊剖析,Web安全深度剖析,Web應用安全權威指南 web安全書籍整理 - CSDN博客
- 推薦一些網站:Freebuf,Secwiki,ichunqiu
- 攻防環境:OWASP-ZAP,DVWA,owasp-open-juice,OWASP Broken Web Applications Project,Metasploitable
- Web基礎:什麼HTTP,HTML,JSP,PHP啊,可以來點Py等等
廣義的滲透測試就範圍廣了,涉及所有層面,包括APP,Web,組件,系統,社會工程等等,只要你能夠想到的攻擊點,在點到即止的情況下進行滲透攻擊
- 基礎知識:要牢固,通信,網路,資料庫,操作系統,Web,容器等等
- 安全工具:掌握主流工具
- 一門甚至2門開發語言:c和py
- 安全框架:包括滲透框架和防護框架,攻防一體
- 額外的報告能力,寫的一首好報告
具體內容參考鏈接:
https://www.zhihu.com/question/53661103/answer/141226181
《黑客技術攻防寶典:web實戰篇》一本足夠了
在有基礎的情況下,kali Linux高級滲透測試是個好東西。畢竟有句話說得好,kali用的好,入獄入得早(手動滑稽)sql注入攻擊與防禦 老外寫的
大中型網站入侵要案 有點老了 不過很不錯
??Web攻防之業務安全實戰指南 寫的很不錯
代碼審計 seay那本 具體名字搜下
以上都買過 良心推薦
一、入門
在學習的時候,你起碼需要對常見的Hacker術語需要掌握,瞭解術語的話可以去看看這裡的百度文庫,寫的還是可以,對大多數的Hacker術語都有過渡,而且對計算機網路原理需要有著一定的基礎,所以務必要去學習一下。
二、瞭解滲透技術
瞭解完術語之後,再瞭解一些滲透技術和技巧,要本著對計算機技術研究的執著,而不是去惡意攻擊、破壞別人的系統。
三、多思考
要有自己對常見漏洞的一些見解,不僅要學攻擊技巧,也要在互聯網學會保護自己,不要讓自己的思維被現有的技術束縛住,需要自己動腦思考。
四、多動手實踐
當你看了一兩本書,對一些理論已經能理解了之後,在實戰方面你依舊還是一窮二白的,建議還是多多實踐,積累經驗,建議是邊動手邊學習,不要紙上談兵。
五、熟悉滲透工具的使用
比如:Hydra、medusa、sqlmap、AWVS、Burpsuite、Beef-XSS、Metasploit、Nessus、wireshark等安全工具,這些是在安全圈和滲透圈比較知名的滲透工具與平臺,要多多熟悉和使用。
資料的話,我這裡有很多