很多小伙伴说,不知道怎么入行安全、不知道从何开始学起。作为从业十年的高级渗透工程师,怎么能让我的粉丝不知道入行安全呢!为此翻开自己刚开始学习时内容进行了整理(学而时习之,又巩固了一遍)。安全这块除了理论的学习还需要再学习过程中把自己所学的知识用实战的形势进行运用,这样才能够更快更牢固的提升自己的技术。
今天带来自己整理的《Web安全学习笔记》曾帮助自己在刚毕业的时候就拿下了奇安信、深信服、安恒的offer,这里面包含大概内容:计算机基础、信息收集、常见漏洞攻防、编程语言、内网渗透、防御技术、工具资源、代码审计等等。
里面的细节非常多,300多页的文档,只能把部分章节挑出来介绍,每个小节点里面都有更详细的内容!以下就是部分知识点的目录,由于平台的篇幅限制原因,子节点上的详细讲解也无法全部展示,需要获取以下章节的所有详细知识讲解可以点击下方链接。
1.序章
- 1.1. Web技术演化
- 1.1.1. 静态页面
- 1.1.2. 多媒体阶段
- 1.1.3. CGI阶段
- 1.1.4. Ajax
- 1.1.5. MVC
- 1.1.6. RESTful
- 1.1.7. 云服务
- 1.1.8. 参考链接
- 1.2. Web攻防技术演化
- 1.3. 安全观
- 1.3.1. 三个最基本要素
- 1.3.2. 术语
2.基础:计算机与网络协议(展示部分)
- 2.1. 网络基础
- 2.1.1. 计算机通信网的组成
- 2.1.2. 通信协议
- 2.1.3. OSI七层模型
- 2.2. UDP协议
- 2.2.1. 主要特点
- 2.3. TCP协议
- 2.3.1. 简介
- 2.3.2. TCP状态
- 2.3.3. 拥塞控制
- 2.3.4. 参考链接
- 2.4. DHCP协议
- 2.4.1. 简介
- 2.4.2. DCHP 报文格式
- 2.4.3. 参考链接
- 2.5. 路由算法
- 2.5.1. 简介
- 2.5.2. 路由选择算法的功能
- 2.5.3. 自治系统 AS (Autonomous System)
- 2.5.4. 两大类路由选择协议
- 2.5.5. RIP
- 2.5.6. OSPF
3.信息收集
-
- 3.1. 域名信息
- 3.1.1. Whois
- 3.1.2. 搜索引擎搜索
- 3.1.3. 第三方查询
- 3.1.4. ASN信息关联
- 3.1.5. 域名相关性
- 3.1.6. 网站信息利用
- 3.1.7. 证书透明度
- 3.1.8. 域传送漏洞
- 3.1.9. Passive DNS
- 3.1.10. SPF记录
- 3.1.11. CDN
- 3.1.12. 子域爆破
- 3.2. 端口信息
- 3.2.1. 常见端口及其脆弱点
- 3.2.2. 常见端口扫描方式
- 3.2.3. Web服务
- 3.2.4. 批量搜索
- ...
4.常见漏洞攻防
- 4.1. SQL注入
- 4.1.1. 注入分类
- 4.1.2. 注入检测
- 4.1.3. 权限提升
- 4.1.4. 数据库检测
- 4.1.5. 绕过技巧
- 4.1.6. SQL注入小技巧
- 4.1.7. CheatSheet
- 4.1.8. 参考文章
- 4.2. XSS
- 4.2.1. 分类
- 4.2.2. 危害
- 4.2.3. 同源策略
- 4.2.4. CSP
- 4.2.5. XSS数据源
- 4.2.6. Sink
- 4.2.7. XSS保护
- 4.2.8. WAF Bypass
- 4.2.9. 技巧
- 4.2.10. Payload
- 4.2.11. 持久化
- ...
5.语言与框架
- 5.1PHP
- 5.2Python
- 5.3Java
- 5.4JavaScript
- 5.5Golang
- 5.6Ruby
- 5.7ASP
6.内网渗透
- 6.1信息收集 - Windows
- 6.2持久化 - Windows
- 6.3信息收集 - Linux
- 6.4持久化 - Linux
- 6.5痕迹清理
- 6.6综合技巧
7.防御技术
- 7.1团队建设
- 7.2安全开发
- 7.3威胁情报
- 7.4ATT&CK
- 7.5风险控制
- 7.6加固检查
- 7.7防御框架
- 7.8蜜罐技术
- 7.9应急响应
- 7.2溯源分析
8.认证机制
- 8.1OAuth
- 8.2JWT
- 8.3Kerberos
- 8.5SAML
9.工具与资源
- 9.1推荐资源
- 9.2相关论文
- 9.3信息收集
- 9.4社会工程学
- 9.5模糊测试
- 9.6漏洞利用
- 9.7持久化
- 9.8防御
- 9.9运维
- 9.10其他
手册速查
- 10.1爆破工具
- 10.2下载工具
- 10.3流量相关
- 10.4嗅探工具
- 10.5SQLMap使用
11.其他
- 11.1代码审计
- 11.2WAF
- 11.3Unicode
- 11.4拒绝服务攻击
- 11.5Docker
今天带来的这份2023全新升级版的《Web安全学习笔记》,希望能够对大家有所帮助!
这份完整版的PDF版本也已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】