滲透入門該看什麼書和雜誌?

12-16

想要與時俱進，多看看WooYun.org | 自由平等開放的漏洞報告平台

可以從2010年的漏洞開始看起，研究烏雲近些年的漏洞發展趨勢，找到合適自己的套路。
比如想學xss，可以看：
白帽子信息_心傷的瘦子
想學web源代碼審計，可以看：
白帽子信息_′雨。
這裡不細說，感興趣可以多搜索一下烏雲的例子，了解一些白帽擅長的，有選擇性的關注一些不錯的白帽子。
另外，還可以多看看一些比較精彩的滲透案例，這些打組合拳的案例能讓你從一個成功的例子學到很多技術：

美圖內網漫遊(淪陷大量內部系統、內部伺服器許可權、企業架構、企業郵箱等敏感信息）
記一次成功的漫遊人人網內部網路至主站淪陷(人人/56網用戶告急)
企業應用安全的軟肋之搜狐暢遊內網漫遊（大量內部敏感信息可泄漏）
對金山遊戲的一次滲透測試

滲透其實總結起來還是一門大技術，由若干個小技術點組成，如果你學滲透測試只學其中某一門技術，那你一定不是一名好的滲透師，滲透講究的就是出奇制勝。

不大建議直接看書，應該先想明白自己的興趣點在哪裡，根據自己的興趣自發去研究一些東西，遇到不懂的去查資料，通過這種學習方式才不會感覺枯燥，其次，多使用百度/谷歌。

另外，關注烏雲主站的同時也別忘了，多看看烏雲的其他幾個分支：
WooYun WiKi [WooYun WiKi]
WooYun知識庫
WooYun(白帽子技術社區) -- 網路安全資訊、討論，跨站師，滲透師，結界師聚集之地又一個有意思的地方

等你有了點實力，還能參與到眾測來給自己賺取一定的賞金
烏雲眾測 | ce.wooyun.org
我自己也是這麼過來的，也許每個人通往入門的路子不一樣，但也許你能從我上面的這些話找到屬於適合你的路子，祝好。

對「滲透入門看書一點用都沒有！！！」那個觀點表示不敢苟同，至少對於自己而言，還是有一丁點兒用的。

接觸的第一本滲透測試的書是《metasploit滲透測試魔鬼訓練營》，厚厚的一大本根本啃不下來，循序漸進是這本書的一個優點，但壞也壞在這循序漸進上。一個章節或知識點的的實驗在環境里沒過去，再看後面的內容就感覺心有餘而力不足了。但是這本書的實驗環境很不錯，搭好之後做別的地方的實驗也可以用。

之後弄了本《滲透測試實踐指南-必知必會的工具和方法》，因為介紹的工具有些或許已經過時或者有更好的替代工具，但是介紹的滲透測試的流程和思路對自己很有幫助。比如信息收集、主機掃描、埠掃描、漏洞掃描、漏洞利用、後漏洞利用、提權、後門、rootkit等等，利用上一本書搭的虛擬機環境，把流程和介紹的工具都走了一遍，對一些概念和思路都逐漸清晰起來。

再後來看了兩本風格和內容都比較類似的書《meteaploit滲透測試手冊》和《metasploit滲透測試與開發實踐指南》
這兩本書也都是從按照一般的滲透測試流程來進行內容的編排，從信息收集到Nmap主機和埠掃描、nessus漏洞掃描，msfconsole里常見輔助模塊和攻擊載荷的介紹和利用，到最後獲得目標主機的meterpreter會話，meterpreter的基本命令和高級使用技巧，創建後門文件，對後門文件進行編碼，metasploit中攻擊載荷代碼的分析和編寫等等。

雖然對攻擊技術都沒有較深入的研究和分析，但是對於剛剛接觸滲透測試的人而言，可以快速的在腦中打下一個滲透測試基本的框架，而不是盲目的掃描、注入。

都是知識點和實驗結合，都可以自己先在搭的虛擬機環境中瞎折騰，
看完之後基本上就會有躍躍欲試的衝動，可以參考排名第一的答案所說，拿東南亞國家的小企業網站來練練手。。。

最後，自己也依然沒入門 - -||

對於說看書沒用的不敢苟同，有一本土黃色挺厚的叫做大中型網路入侵要案。的書，我非常推薦入門級別看，裡面的語法非常通俗易懂，對於新手最重要的不是理論，而是初嘗勝果

滲透入門看書一點用都沒有！！！
滲透入門看書一點用都沒有！！！
滲透入門看書一點用都沒有！！！

重要的事說三遍，滲透的經驗和技巧是需要在大量實踐中積累的，一上來看書，尤其是充滿各種專業辭彙的書頓時讓人喪失興趣。當你拿下第一個webshell，執行whoami的時候，屏幕上出現system or root的時候，滲透的成就感會激發你更大的動力。
所以建議不如在網上找幾個軟柿子站（建議東南亞國家的小企業站）試試能不能拿下來
為什麼建議東南亞國家的小企業站：
1、不會有人查你水表
2、asp+mssql的比較多，注入、文件包含等洞比較多，而且通常注入點是mssql sa顯錯模式，webshell到伺服器一步到位不用提權
3、防護軟體較少，相比國內的某數字+某狗已經非常容易滲透
4、最後還能搭個vpn或者shadowsocks翻牆用

ps：國內的gov和edu站點在沒有授權的情況下不要進行滲透檢測，任何時候學習滲透都不要影響系統的正常運轉（不脫褲、不篡改數據）

建議先從雲盤搜索幾個系列的滲透測試視頻看看，可以先學習一些腳本小子都會的技巧，如注入，上傳，這些技巧。然後邊看邊找幾個試試手，一些小企業站可以拿來練練。像sql注入之類的漏洞和測試方法一定要掌握牢固，前期搞滲透，注入會讓你很有信息繼續下去。
弄一些站，拿一些shell，然後學會一些常用的提權方法。把一些常用的黑站技巧學會了後，還是不要停去黑站，當然只是測試型的不要破壞，這個自己可以拿捏。這個過程就是你積累經驗的時期，這個時期過了，相信已經入門了。
這時不妨學習一門腳本，如Python，學習一下kali裡面的工具，可以參考《黑客大曝光》這一類的書籍，會讓你系統地學習滲透技巧。這方面主要是理論和做實驗，你以前看不懂的東西，這時候看感覺有些似曾相識了。
然後繼續深入，現在主要是看書的時候了，像你說的白帽子講web安全，《owasp滲透測試指南》，《黑客攻防技術寶典web實戰篇》，《web前端黑客技術揭秘》，《反欺騙的藝術》，《社會工程學》等等

"滲透測試＝web安全"這種觀念不知道害了多少入門者，變得功利和浮躁，也分化了國內安全行業。賭5毛等多年後老一輩的安全研究員都隱退了，國內將出現嚴重技術斷層。

給你介紹一個課程，不知道算不算，Kali滲透培訓課程

1、《Web 前端黑客技術與揭秘》前端黑客必備，cos 和 xisigr 出的書

2、《白帽子講Web安全》道哥出的書

3、《黑客攻防技術寶典-Web實戰篇》

4、《Web之困》

5、《Web應用安全權威指南》

6、《SQL注入攻擊與防禦》

7、《XSS跨站腳本-攻擊剖析與防禦》

8、《Web安全深度剖析》適合基礎

9、《精通腳本黑客》有點老了

去逛逛烏雲和freebuf吧，kssd也不錯。

可以看看這個 http://hackjason.com/post-67.html

適合剛入門學習滲透的朋友

滲透測試實用指南第二版

現在的網路上各類平台都有，但是說到學習的話沒有幾個平台是做正規化有實力的培訓的，我覺得這些首先關鍵你自己去學習了解吧，多說也是無用的，全靠個人，我可以推薦個黑客的博客給你看下他的文章，多學習了解下，我覺得是非常不錯，說的都很口語化，

http://www.weixianmanbu.com/article/1538.html滲透中另一種抓系統密碼HASH的技巧_危險漫步

如果你是願意學習，不浮躁，不急於求成的可以來我群里交流學習 QQ群：608484912 一起學習進步吧（此群只為技術交流，杜絕吹B灌水斗圖）

《滲透從入門到入獄》

關注微信 "滲透的藝術"

別嫌老套，那只是基礎。

國內有本書好像叫做安全參考，月刊，電子版，是對網上文章的整理，可以參考思路。

菜鳥如我，可以在虛擬機里搭建模擬滲透環境，自己入侵自己。

哈哈，慢慢看，看不懂的就百度谷歌，還有一本黑客腳本全本，也比較基礎

這不是找死么, web涉及就是語言啊，不學是看不懂的。什麼 shellcode Python C 啊，我買那本灰帽子就是那樣，看不懂