写在最前

仅献给所有打算入门信息安全,正在入门信息安全的你们,希望能抛砖引玉

入门的概念,因人而异,有些觉得会用一些工具按照教程敲敲跟着网上新出的漏洞下个exp随便找个目标打打就算入门,有些觉得理论工具流程走完了知识面开始逐渐扩大了还没能入门,甭管怎样的理解,最终都需要,掌握基础的知识、掌握工具的使用、掌握流程/方法,对三者做到融会贯通,付诸实践,对于Web安全乃至信息安全、开发及其他同样也适用

信念

当决定从事信息安全的这一刻,需要端正自己的信念,即常说的道德,不懂的越多入门越危险,懂的越多走得越危险,很多时候就是一个念头可能就成了HC、HC(关键词)甚是更严重的(关键词),之后便一发不可收拾,毁掉自己的不是外界的环境,而是自己没能坚守一开始的信念,换言之,不忘初心方得始终

基础知识

配置环境的能力

这需要一颗热爱折腾的心,总的来说就是Linux(类Unix)和Windows

VMware、VirtualBox

  1. 需要安装不同的系统,在不同环境下测试不同的漏洞,如果直接在物理机上折腾,将会是个灾难
  2. 不同的工具可能只能运行在特定的环境下
  3. 方便回滚测试结果
  4. 还有很多,需要自己实际体会

目标:能够在虚拟机中安装各种系统(Linux/Windows/黑苹果…)

Linux基础

参考书籍:【】tlcl-cn、【鸟哥】鸟哥的linux私房菜

分区,挂载,安装系统,安装软件,更新系统

man

info

-h或者-help

Linux发行版,Ubuntu LinuxMint CentOS Redhat SUSE…

目标:能在终端环境下对系统进行操作

Windows基础

略去不提,为什么不提,就是不想提

Windows,2000 2003 xp 2007 2008 7/8/10 2012…

Shell脚本/Python基础

参考书籍:【廖雪峰】Python3-廖雪峰-带标签完整版

TLCL涉及部分shell编程

目标:简单的shell/Python编程,能够读懂代码(poc/exp)

Web相关

参考书籍:【】计算机网络自顶向下方法原书第6版

HTTP/HTTPS协议

目标:了解HTTP协议中的每个字段含义,特别注意GET/POST的区别

网站架构

参考书籍:【李智慧】大型网站技术架构核心原理与案例分析

简单web架构:

web服务器、数据库、文件、web应用都部署在同一台服务器上

复杂web架构:

使用CDN、反向代理、负载均衡、MQ、缓存、NoSQL、分布式、集群等

目标:了解Web架构

前端

HTML,JavaScript,CSS…

目标:右键查看页面源码时,能够读懂html中的代码,能够对js执行过程进行分析

后端

PHP,ASP,JSP,Java…

目标:能够分辨页面的语言

Web Server

Nginx,Apache,IIS…

一键包:phpstudy,LAMP,WAMP..

目标:能够使用一键包安装与配置,对应配置文件修改,进阶,单独安装并配置(PHP、MySQL、Apache)

数据库

放在Web相关不合理

数据库操作

Oracle,DB2,MSSQL,MySQL…

目标:掌握MySQL、MSSQL安装,数据库操作

CMS

WordPress,Joomla,Drupal..

目标:能够在给定的Web server下熟练安装各个CMS

原理

参考:【】OWASP Top 10

参考:【】Owasp Testing Guide v4

参考书籍:【道哥】白帽子讲Web安全

参考笔记:白帽子讲Web安全——读书笔记

目标:掌握原理、利用技巧、修复方式、对应的工具,进阶,手工

搜索引擎/英语能力

Google、Bing…

translate.google.cn

fofa、censys、ZoomEye、shodan…

目标:熟练使用搜索引擎,如Google hacking语法,能够发现网络设备

工具

参考书籍:【】很多工具书

参考视频:【】burpsuite 系列视频教程

参考:【】kali top 10 tools

参考:【】MYSQL 注入天书——Sqli-labs 使用手册

Xshell、Winscp、菜刀、burpsuite、Firefox.56(hackbar插件)、SQLMap…

Kali(BT5)…

工具包,…

目标:了解工具使用,知道使用场景

测试环境

DVWA、SQL-labs…

目标:在虚拟机中搭建对应的测试环境,理解漏洞原理,使用工具结合手工测试/验证

流程/方法

参考:【诸葛建伟 (翻译)】PTES_MindMap_CN1

参考:【】各种渗透思维导图

目标:掌握流程,每个流程使用的工具,手工测试

已属于渗透测试范畴

小Demo

一个登陆界面,用户名,密码,验证码

信息收集

判断网站架构,系统,开发语言,web容器,端口及对应服务,有无CDN,真实IP,WAF,Firewall,负载均衡,代理…

实施

可能的问题点:

  1. 敏感信息泄露页面中、HTML源码/注释、JavaScript源码/注释、表单命名规则HTTP响应服务器信息、Web版本、开发语言
  2. 注入用户名/密码/验证码,SQL注入…HTTP请求
  3. XSS所有可控的输入区域,包括hiddenHTTP请求
  4. 不合理安全机制密码策略不严格,允许弱口令无锁定机制或锁定机制可被绕过

    验证码可被绕过

    验证码伪随机

    验证码OCR

    重要操作没有二次验证

  5. 逻辑错误用户名可被枚举
  6. 不加密传输(HTTP)传输数据可被拦截中间人攻击
  7. 弱加密传输密码弱加密弱MAC
  8. 数据合法性校验数据前端校验,后端校验不严格

结果问题分析

对存在的问题点进行分析,理解问题的根源,提出解决方案

注意:这并不是check list,只是临时想到的点,每个人都有不同的测试思路

一些后话

并不是说看完这篇文章就入门了,且不一定能够想到所有的点,但是希望提到的点都是有用的,很多东西只提到点,没有提到具体的操作,因为网上已经有了很多对应的教程,一搜就可以找到想要的

还需额外关注一些信息:安全厂商、媒体技术资讯平台、SRC..

并且还会有:掌握一门编程语言、Web开发、操作系统、计算机网络、密码学..

以上书籍及某些工具,link,code:M3ZmNg==

发表评论

电子邮件地址不会被公开。 必填项已用*标注