各位好，本系列打算對本人學過的滲透測試知識做一個總結。與此同時希望能夠幫助到一些迷茫的人。

滲透測試這門藝術比較難學，首先需要了解程序（前端程序、後臺程序、數據庫、框架，CMS.....），然後學習常見的手法（SQL註入、XSS、CSRF、文件上傳、SSRF....）和使用黑客工具，其次將手法（漏洞原理）和編程相結合生出黑客工具（POC、EXP），最後挖掘應用程序漏洞（代碼審計）。這只是僅僅的一部分，其實還能結合現有的基礎設施或瀏覽器進行攻擊。本人知識層面有限，總結並不完成，歡迎評論補充。滲透測試因為知識面多，要求學習深度深，思路要廣所以難學。難學歸於難學，如果想學還是有方法、有蹤跡可循。

一、腦圖

下面是一些腦圖：

https://www.waitalone.cn/penetration-testing-flowchart-share.html?replytocom=540

這些腦圖看著覺不覺得頭大？我內個去，這麽多東西怎麽學？其實不必嫌多一點點的來，專註一個方面深入研究。

PS：曾有位同僚研究SQL註入十年。

二、流程

這是一個基礎流程。為什麽這麽說？因為掃描不能發現邏輯漏洞等。邏輯漏洞是什麽？具體的以後會總結到的。

三、你需要的

你需要看幾本書、加入一個團隊、關註一些博客、進入一些論壇。

我只推薦我看過的（沒看過的不知道好壞，不想坑人）：

1、黑客秘籍-滲透測試實用指南（第二版）

2、白帽子講Web安全

3、黑客攻防技術寶典-Web實戰篇（第二版）

4、精通metasploit滲透測試

5、python 核心編程（第二版）【感興趣可以看下】

6、新概念英語 一套書【這點我需要吐槽，如果不學英文30歲之後會很難過，不信可以走著瞧。】

團隊還是推薦我們自己的：

滲透測試交流群【453598428】 PS：沒點本事的進不來，不愛說話的還會被踢。

關註博客：

博客就比較多了，不舉例自己找。

一些論壇：

推薦吐司、90sec、SSS、F11...等等，這也挺多的，看自己喜好好了。

本文廢話較多，不定期連載。嘿嘿，下文再見。

別人的滲透測試(一)