b2c信息网

您现在的位置是:首页 > 时政新闻 > 正文

时政新闻

app渗透测试需要学什么(渗透测试需要学开发吗)

hacker2022-07-03 05:58:14时政新闻125
本文目录一览:1、渗透测试学习些啥呀?2、渗透测试需要学那些知识?

本文目录一览:

渗透测试学习些啥呀?

渗透测试需要的基础技能必须有网络基础、编程基础、数据库基础、操作系统等基本技能。学习的话可以从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入,学习了这些基础技能之后,就可以进行渗透测试的深入学习了,如web方面的学习OWASP TOP 10漏洞挖掘、主机系统服务漏洞检测、App漏洞检测、内网渗透等方面,最后当然是能够编写渗透测试报告啦。

渗透测试需要学那些知识?

web黑客渗透测试入门需要学哪些?

学习web渗透,就是从零散到整体。我们入门门槛比较低,学会用工具就可以了。但是从入门到另一个层次就比较难了,也是大部分脚本小子迷茫的地方。

在web渗透的核心那就是思路,大量的思路来源是来自于自己的知识积累和丰富的经验。 学而不思则罔思而不学则殆。

当我找到了一个注入点:

首先放进工具一点,工具提示不存在注入。很奇怪,明明是存在的,发个某大牛,某大你不想说话并向你扔了个链接,你发现居然爆出了帐号密码。

太多的人都是处于这个超级小白阶段,这个阶段处于菜鸟阶段,我称为打哪是哪。

我来问问:

brup suite你会用?你会用来做什么,爆破?你知道怎么抓包分析post注入吗?你知道绕过上传时brup suite的神奇之处吗?

sqlmap 你会用?你会用来做什么,-u?-dbs?你知道怎么在sqlmap中执行sql语句吗?你知道sqlmap怎么反弹shell吗?

xss 你都懂?你知道xss平台那么多模块都有什么妙用吗?你知道尖括号过滤都有哪些绕过方式吗?

入门学习思考 可能遇到的问题 和新手需知:

你知道svn源代码泄露是什么?通过审计代码能做到什么吗?

你知道在发现st2漏洞命令执行时出现目录限制的时候怎么突破吗?有多少种方式可以突破,在什么样的场景下容易出现,如果有杀软怎么绕过吗?

你知道在3306允许外链的情况下可以爆破吗?你以为扫描器会把端口的风险都列出来给你吗?

你知道一个缜密的邮箱伪造社工可能就能导致网站沦陷吗?

你知道遇到weblogic等弱口令的时候如何去部署war拿shell吗?

你知道各种java中间件的端口是哪些吗?各种反序列化漏洞是怎么样快速定位数据库配置文件的吗?

你知道填充Oracle漏洞的利用方法吗?你知道扫描器都是误报吗?你知道手工怎么测试漏洞真实存在吗?

你知道oa系统都有哪些通用注入和无限制getshell吗?

你知道phpmyadmin可以爆破吗?什么样的版本可以爆路径,什么样的版本几乎拿不到shell吗?

太多太多了,我上面提到的也只是web方面的冰山一角,后面的提权、内网等等难题如海。

渗透测试培训学什么

首先了解Kali系统的基本使用方法,学习sql注入相关内容和xss跨站脚本攻击。另外还要学习CSRF伪造用户请求和暴力破解常见服务,还要了解web网站里基于文件上传漏洞获取webshell权限,以及xxe漏洞任意提取和无线安

发表评论

评论列表

  • 余安断渊(2022-07-03 14:30:12)回复取消回复

    rup suite的神奇之处吗?sqlmap 你会用?你会用来做什么,-u?-dbs?你知道怎么在sqlmap中执行sql语句吗?你知道sqlmap怎么反弹shell吗?xss 你都懂?你知道xss平台那么多模块都有什么妙用吗?你知道尖括号过滤都有哪些绕过方式吗?入门学习思考 可能遇到的问题

  • 晴枙桃靥(2022-07-03 15:20:29)回复取消回复

    ite你会用?你会用来做什么,爆破?你知道怎么抓包分析post注入吗?你知道绕过上传时brup suite的神奇之处吗?sqlmap 你会用?你会用来做什么,-u?-dbs?你知道怎么在sqlmap中执行sql语句吗

  • 莣萳羡兔(2022-07-03 11:41:56)回复取消回复

    以爆破吗?你以为扫描器会把端口的风险都列出来给你吗?你知道一个缜密的邮箱伪造社工可能就能导致网站沦陷吗?你知道遇到weblogic等弱口令的时候如何去部署war拿shell吗?你知道各种java中间件的端口是哪些

  • 慵吋卿忬(2022-07-03 11:36:47)回复取消回复

    本几乎拿不到shell吗?太多太多了,我上面提到的也只是web方面的冰山一角,后面的提权、内网等等难题如海。渗透测试培训学什么首先了解Kali系统的基本使用方法,学习sql注入相关内容和xss跨站脚本攻击。另外还要学习CSRF伪造用户请求和暴力破解常见服务,还要了解web网

  • 辙弃野欢(2022-07-03 14:47:25)回复取消回复

    习CSRF伪造用户请求和暴力破解常见服务,还要了解web网站里基于文件上传漏洞获取webshell权限,以及xxe漏洞任意提取和无线安