學習滲透測試該如何入門?想必也是各位新手小白都特別想了解的話題。
其實,在學習滲透內容之前,我們首先要了解什么是滲透測試以及主要工作職責是什么?
首先,我們來說說什么是滲透測試?
通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法,是指滲透人員在不同的位置利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
主要工作職責是什么?
1.對公司各類系統進行安全加固;
2.對公司網站、業務系統進行安全評估測試(黑盒、白盒測試);
3.查看網站或App軟件是否存在SQL注入,XSS跨站,CSRF等安全漏洞;
4.對公司安全事件進行響應,清理后門,根據日志分析攻擊途徑;
5.安全技術研究,包括安全防范技術,黑客技術等;
6.跟蹤最新漏洞信息,進行業務產品的安全檢查。
了解以上問題之后,我們再來談談做滲透測試的基本流程是什么?
1. 要明確目標,確定測試的范圍
2. 進行信息收集,盡可能了解被測對象的所有信息
3. 進行漏洞探測,一般借助工具進行查找
4. 進行漏洞驗證,其中會有一些高危、低位、甚至漏報的漏洞;對高危的漏洞進行進一步的滲透。
5. 整理和分析信息
6. 形成測試報告
那么重點來了,學習滲透測試該如何入門呢?
第一階段: 了解掌握http、TCP、UDP通信協議;掌握windows、linux系統的基本使用。
第二階段:學習web前端(html語言、css語言、JAVAscript語言)與后端(php語言)的基礎及數據庫(MySQL)基本使用、web服務器的基本搭建,并編寫基礎小項目部署到web服務器實現訪問;學習掌握Python/ target=_blank class=infotextkey>Python編程語言。
第三階段:學習信息收集、web漏洞(SQL注入、XSS跨站腳本攻擊、CSRF漏洞、任意文件包含漏洞、文件上傳漏洞、SSRF漏洞、XXE漏洞、命令執行漏洞、暴力破解)主流web漏洞的原理及利用與繞過方式、漏洞驗證代碼(POC)編寫、常用攻擊工具的學習與使用。
第四階段:內網滲透、代碼審計、應急響應。
