如何入門web滲透？

作者：Despair

鏈接：搞滲透是否需要掌握至少一門伺服器腳本語言 還需要什麼基礎呢？ 豐富的網路知識？ - Despair 的回答

來源：知乎

著作權歸作者所有，轉載請聯繫作者獲得授權。

咦~

滲透的話，我是菜鳥，其實不止滲透，其餘的我都是菜鳥

首先你得會html+js吧，CSS這裡我不說了，能懂自然是好的

然後會js後，你就可以深入一下XSS了

1. 《XSS跨站腳本攻擊剖析與防禦》
2. 《web前端黑客技術揭秘》

之後你一個黑客而且還是web端的黑客，好意思不懂幾門語言？首推php 次推python

為什麼首推php？

1. 入門簡單
2. 玩web不會代碼審計，好意思不？
3. 資料多

學了php可以先暫停了，先別管代碼審計，俗話說的好：未知攻，焉知防？

去看資料庫吧，至少還能玩轉sql注入

1. MySQL

2. MSSQL

3. Oracle

4. PostgreSQL

5. Access

6. SQLite

這些你至少得會一種，了解其他的吧？

然後就是看看各大論壇了，當然在這之前你得會HTTP協議

1. SSS安全論壇-bbs.sssie.com|官方論壇
2. T00LS - 低調求發展
3. https://http://forum.90sec.org
4. i春秋論壇|白帽黑客論壇

別光看，實踐最重要！！！！！

別光看，實踐最重要！！！！！

別光看，實踐最重要！！！！！

然後你得了解最新的圈子裡的信息

1. FreeBuf.COM | 關注黑客與極客

2. 安全客 - 有思想的安全新媒體

3. http://www.hi-ourlife.com/

4. 安全盒子 - 專註於互聯網安全的科技媒體

恩，好，看到這裡你需要一點動力了，沒，去提交漏洞賺外快吧：

1. 補天 - 企業和白帽子共贏的漏洞響應平台，幫助企業建立SRC，庫帶計劃

2. 漏洞盒子 | 互聯網安全測試平台

3. 漏洞銀行(BUGBANK) 官方網站

但是提交漏洞後，發現自己真沒用，好多地方明明有漏洞但是，就是不會繞過和利用，明明該懂的都懂了啊？

好的，這時候你需要來一個wooyun鏡像站來看看繞過姿勢了

1. WooYun搜索 WooYun漏洞查詢 烏雲搜索功能 烏雲漏洞搜索 WooYun公開漏洞查詢平台 wooyun邀請碼 烏雲邀請碼 WooYun.org邀請碼

2. 華西安全網--wooyun漏洞報告平台搜索--烏雲WooYun鏡像站

事實上很多利用方式都會了後，還是感覺自己挖洞太慢，咋辦？ok，這個時候就是你學習python和代碼審計的時候了

python：

1. Python 官方文檔中文站

2. 在線手冊中心

3. Python論壇-國內最好的Python中文社區：Python論壇|Python教程|Django教程|Python框架

代碼審計：

1. SSS安全論壇-bbs.sssie.com|官方論壇
2. T00LS - 低調求發展
3. https://http://forum.90sec.org
4. i春秋論壇|白帽黑客論壇

額，好吧我會一點Python了，也會審計一下程序了，但是還是太慢啊。

OK，這時候你得會寫exp哦

1. BugScan--漏洞插件社區

2. Seebug - 洞悉漏洞，讓你掌握第一手漏洞情報！

恩，我會寫exp了，然而這又有什麼用呢？特徵呢？特徵在哪？

是時候展示真正的神器了：

1. http://www.zoomeye.org/

----------------------------------------------------------------------------------------------

額，先到這裡吧，其餘的我也沒涉及到，你說的提權，我也只會用exp和常見的提權方式，遇到防火牆就得陽痿的人

-------------------------------------------------------------------<2016.10.15補充>---------------------------------------

還有一件事，你得明白web安全和滲透測試的區別

web安全：顧名思義，就是web層面的安全，在不考慮遠程溢出、C段嗅探、鐵鎚砸機的情況下的安全

滲透測試：

最終目的是滲透

最終目的是滲透

最終目的是滲透

重要的事情說3遍

推薦閱讀：