很多小伙伴说,不知道怎么入行安全、不知道从何开始学起。作为从业十年的高级渗透工程师,怎么能让我的粉丝不知道入行安全呢!为此翻开自己刚开始学习时内容进行了整理(学而时习之,又巩固了一遍)。安全这块除了理论的学习还需要再学习过程中把自己所学的知识用实战的形势进行运用,这样才能够更快更牢固的提升自己的技术。
今天带来自己整理的《Web安全学习笔记》曾帮助自己在刚毕业的时候就拿下了奇安信、深信服、安恒的offer,这里面包含大概内容:计算机基础、信息收集、常见漏洞攻防、编程语言、内网渗透、防御技术、工具资源、代码审计等等。
里面的细节非常多,300多页的文档,只能把部分章节挑出来介绍,每个小节点里面都有更详细的内容!以下就是部分知识点的目录,由于平台的篇幅限制原因,子节点上的详细讲解也无法全部展示,文末有货取以下章节的所有详细知识讲解。
1.序章
1.1. Web技术演化
1.1.1. 静态页面
1.1.2. 多媒体阶段
1.1.3. CGI阶段
1.1.4. Ajax
1.1.5. MVC
1.1.6. RESTful
1.1.7. 云服务
1.1.8. 参考链接
1.2. Web攻防技术演化
1.3. 安全观
1.3.1. 三个最基本要素
1.3.2. 术语
2.基础:计算机与网络协议(展示部分)
2.1. 网络基础
2.1.1. 计算机通信网的组成
2.1.2. 通信协议
2.1.3. OSI七层模型
2.2. UDP协议
2.2.1. 主要特点
2.3. TCP协议
2.3.1. 简介
2.3.2. TCP状态
2.3.3. 拥塞控制
2.3.4. 参考链接
2.4. DHCP协议
2.4.1. 简介
2.4.2. DCHP 报文格式
2.4.3. 参考链接
2.5. 路由算法
2.5.1. 简介
2.5.2. 路由选择算法的功能
2.5.3. 自治系统 AS (Autonomous System)
2.5.4. 两大类路由选择协议
2.5.5. RIP
2.5.6. OSPF
3.信息收集
3.1. 域名信息
3.1.1. Whois
3.1.2. 搜索引擎搜索
3.1.3. 第三方查询
3.1.4. ASN信息关联
3.1.5. 域名相关性
3.1.6. 网站信息利用
3.1.7. 证书透明度
3.1.8. 域传送漏洞
3.1.9. Passive DNS
3.1.10. SPF记录
3.1.11. CDN
3.1.12. 子域爆破
3.2. 端口信息
3.2.1. 常见端口及其脆弱点
3.2.2. 常见端口扫描方式
3.2.3. Web服务
3.2.4. 批量搜索
…
4.常见漏洞攻防
4.1. SQL注入
4.1.1. 注入分类
4.1.2. 注入检测
4.1.3. 权限提升
4.1.4. 数据库检测
4.1.5. 绕过技巧
4.1.6. SQL注入小技巧
4.1.7. CheatSheet
4.1.8. 参考文章
4.2. XSS
4.2.1. 分类
4.2.2. 危害
4.2.3. 同源策略
4.2.4. CSP
4.2.5. XSS数据源
4.2.6. Sink
4.2.7. XSS保护
4.2.8. WAF Bypass
4.2.9. 技巧
4.2.10. Payload
4.2.11. 持久化
…
5.语言与框架
5.1PHP
5.2Python
5.3Java
5.4JavaScript
5.5Golang
5.6Ruby
5.7ASP
6.内网渗透
6.1信息收集 - Windows
6.2持久化 - Windows
6.3信息收集 - Linux
6.4持久化 - Linux
6.5痕迹清理
6.6综合技巧
7.防御技术
7.1团队建设
7.2安全开发
7.3威胁情报
7.4ATT&CK
7.5风险控制
7.6加固检查
7.7防御框架
7.8蜜罐技术
7.9应急响应
7.2溯源分析
8.认证机制
8.1OAuth
8.2JWT
8.3Kerberos
8.5SAML
9.工具与资源
9.1推荐资源
9.2相关论文
9.3信息收集
9.4社会工程学
9.5模糊测试
9.6漏洞利用
9.7持久化
9.8防御
9.9运维
9.10其他
手册速查
10.1爆破工具
10.2下载工具
10.3流量相关
10.4嗅探工具
10.5SQLMap使用
11.其他
11.1代码审计
11.2WAF
11.3Unicode
11.4拒绝服务攻击
11.5Docker
这份完整版的Python全套学习资料已经整理,朋友们如果需要可以微信扫描下方二维码免费领取【保证100%免费】
上一篇:JSBox,脚本之家
下一篇:43岁程序员,投了上万份简历都已读不回,只好把年龄改成40岁,这才有了面试机会,拿到了offer! |
