風炫安全Web安全入門第一期課程總結
風炫安全Web安全入門第一期課程總結
我們第一期的Web安全入門學習,已經基本完成了,這節課我們來最后做一下總結,
這套Web安全入門學習是我從20年10月份開始,持續分享的一套課程,也是我第一次分享連續的課程,按照caoz的名言“輸出倒逼輸入”,可以看到我還有是很多的缺點,特別是說話比較快,這個缺點我現在會慢慢的克服,不過總的來說到今天也算是兌現了承諾,堅持下來了,做了一個完結,加上這節課總共課程分為50節課,
現在我把整個課程鏈接放到這里,提供給大家,很多人并沒有看過之前的全部視頻,那么今天我就這里集合發一下
第一節課 目錄與大綱
第二節課 HTML基礎
第三節課 前端XSS攻擊
第四節課 PHP基礎
第五節課 常用術語決議
第六節課 Windows滲透基礎
第七節課 Linux滲透基礎
第八節課 網路基礎
第九節課 Sql注入講解
第十節課 數字型的Sql注入講解
第十一節課 字符型的Sql注入講解
第十二節課 Mysql報錯函式的注入
第十三節課 Insert/Update/Delete注入
第十四節課 Http Header型別的Sql注入講解
第十五節課 基于時間和布爾型的Sql盲注
第十六節課 高權限Sql注入的getshell
第十七節課 使用SqlMap進行自動化注入(一)
第十八節課 使用SqlMap進行自動化注入(二)
第十九節課 XSS漏洞基礎知識和原理講解
第二十節課 反射型XSS講解
第二十一節課 存盤型XSS漏洞講解
第二十二節課 Dom型的XSS漏洞講解
第二十三節課 利用XSS獲取COOKIE
第二十四節課 利用XSS進行釣魚攻擊
第二十五節課 利用XSS鍵盤記錄
第二十六節課 XSS防御繞過
第二十七節課 常見編程語言的XSS防御措施
第二十八節課 CSRF攻擊原理與實戰
第二十九節課 CSRF漏洞防御
第三十節課 命令執行&代碼執行基礎
第三十一節課 代碼執行&命令執行實戰
第三十二節課 Python 語言可能發生的命令執行漏洞入
第三十三節課 檔案包含漏洞基礎以及利用偽協議進行攻擊
第三十四節課 檔案包含漏洞防御
第三十五節課 檔案下載和檔案讀取漏洞
第三十六節課 15種檔案上傳漏洞演示(一)
第三十七節課 15種檔案上傳漏洞演示(二)
第三十八節課 越權漏洞講解與演示
第三十九節課 反序列化漏洞基礎知識
第四十節課 反序列化漏洞利用與演示
第四十一節課 從淺到深XXE漏洞演示與講解
第四十二節課 SSRF漏洞講解與演示
第四十三節課 目錄遍歷漏洞
第四十四節課 敏感資訊泄漏
第四十五節課 資訊收集之子域名收集
第四十六節課 資訊收集之CMS指紋識別
第四十七節課 常見的主機類漏洞掃描器
第四十八節課 資訊收集之WEB安全漏洞掃描
第四十九課 靶場的搭建與實戰
筆記地址:https://github.com/fengxuangit/secnode
整理好了,放在這里送給大家,
在這里呢,還是簡單再介紹下我自己,我的ID是:風炫,高中就開始喜歡研究安全了,大學打過2次線下CTF,運氣不錯拿了不錯的名次,畢業后一直是在知名的網路安全公司作業,17年6月出來和朋友創業,做了一些互聯網專案,有成功也有失敗,目前是自由職業,
我一直做的都是后端開發,安全開發,目前熟悉的技術堆疊:
- PHP/Python/Java 這三門編程語言,
- Linux/Shell linux算是比較熟悉,《鳥哥的linux私房菜》
- Mysql/Redis 關系型資料庫Mysql可以算得上是我的技能亮點,
- 略懂安全
因為17年6月之前一直在公司上班,所以都是用Python當作主要作業語言進行開發,17年6月之后由于和朋友開始做一些網路專案,我還是選擇了PHP作為開發語言,其實對于中小型互聯網應用來說,語言并不是限定性能的關鍵性因素,業務快速上線驗證商業模式對于我們來說才是最重要的,
安全行業算是我的興趣愛好,和一線紅隊人員經驗相比,我肯定是有所差距,
于是在學習安全的程序中,我發現了以下幾個痛點:
-
知識碎片化
現在安全文章,教程非常多,不過各個技術網站里面每個文章都是一個方向里面的細分技能,學習者如果天天在安全媒體上看技術文章會讓自己整的相當焦慮以及迷茫,
-
資訊檢索困難
我估計大多數的紅隊測驗人員在實戰和作業的時候,都有在互聯網上搜索某一種組件、CMS、Web容器和作業系統的漏洞或者漏洞利用程式的需求,根據這些已經發現的漏洞來測驗自己的攻擊目標,這一步的操作基本上都是會去搜索引擎搜索,目前中文第一的搜索引擎顯然無法滿足安全人員的需求, -
資訊難整合
目前安全媒體,如Freebuf,安全客,網安,這些網站都是非常不錯的技術和資訊類,但是安全人員如果想了解媒體最新發生的技術潮流和事件需要輾轉幾個網站去瀏覽查看,比較費時間,
通過以上的痛點,我做了一個安全行業類的垂直搜索和資訊整合網站https://evalshell.com,使用Django3.2+elasticsearch做搜索引擎
- 首頁即為搜索,直接搜索關鍵字,出現相關漏洞文章,
- 全網文章收集全網安全相關文章,節省資訊獲取時間,
- 安全工具收集安全相關工具,節省找工具的時間,
- 安全專題整合倍訓和系列的相關文章或者教程,防止學習碎片化,
當然,因為這個網站我剛做好還沒多長時間,可能里面內容還不是非常完善,不過不用擔心,我會在未來的時間里逐漸完善,
最后,如果大家感興趣的話,我可以多寫一些技術之外的東西,包括我創業時期的經歷(17-18年創業讓我少奮斗了20年,跨到新一線中產),和我目前的一些想法,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/259374.html
標籤:其他