安全測試需要掌握的基礎知識
1. HTTP協議基本概念
(1)介紹HTTP標示URL
(2)HTTP響應狀態碼
(3)HTTP協議傳輸內容
(4)HTTP協議請求傳輸過程(三次握手,四次揮手等)
2. WEB應用認證基本概念
(1)HTTP常見認證機制
(2)BASE64編碼介紹
3. B/S架構常見安全問題
(1)拒絕服務攻擊基礎
(2)Smurf攻擊模型
(3)Fraggle攻擊模型
(4)SynFlooding攻擊模型
(5)碎片攻擊
(6)碎片攻擊
(7)碎片攻擊
4. 嗅探理論基礎
(1)網路嗅探原理
(2)密碼嗅探介紹
(3)協議分析基礎介紹
第二章:B/S架構體系安全滲透測試攻擊基礎
1. B/S架構結構埠掃描分析
(1)SuperScan工具
(2)Nmap埠掃描工具
(3)其他掃描工具(OWASP ZAP等),可以檢視百度常見埠掃描工具(具體根據公司專案實用性使用)
2. 輸入驗證攻擊基礎知識
(1)輸入驗證攻擊基本概念
(2)Unicode漏洞介紹
(3)輸入驗證二次解碼漏洞介紹
3. ASP指令碼注入基礎知識
(1)ASP指令碼注入基本概念
(2)ASP指令碼注入檢測
(3)ASP指令碼注入資訊獲取
(4)AASP指令碼注入提權
4. PHP指令碼注入基礎知識
(1)PHP指令碼注入基本概念
(2)PHP指令碼注入檢測
(3)PHP指令碼注入資訊獲取
(4)PHP指令碼注入提權
5.跨站指令碼原理及防禦
(1)跨站指令碼基本概念
(2)跨站指令碼例項
(3)跨站指令碼解決方法
6、 Web許可權提升分析
(1)Web許可權提升基本概念
(2)WeBShell上傳方法
(3)Web許可權提升7大方法:密碼破解、本地提權、Gina木馬…
7.APR嗅探基礎
(1)APR協議概念
(2)APR欺騙攻擊
(3) 交換域網路嗅探
第三章:B/S架構體系安全滲透測試攻擊與測試工具
1、 攻擊工具介紹(ZAP模擬攻擊,網路攻防,sqlmap等)
(1)注入攻擊工具原理
(2)注入攻擊工具分析
(3)攻擊測試平臺搭建
2.注入攻擊工具使用練習(SQL注入等)
(1)注入攻擊工具使用
(2)域名檢查攻擊工具使用及域名資訊查詢用
3.拒絕服務攻擊工具使用練習
(1)SynFlooding攻擊工具測試
(2)UDPflood攻擊工具測試
(3)畸形DDOS攻擊工具
4.嗅探攻擊工具使用練習
(1)ARP欺騙攻擊工具 密碼嗅探練習
(2)嗅探協議分析練習
5. B/S安全評估工具使用練習
(1)Web指令碼評估工具安裝
(2)B/S架構掃描
(3)評估報告分析撰寫模版
6. 常見網路安全問題了解
(1)跨站指令碼(Cross-site scripting,通常簡稱為XSS)
(2)跨站請求偽造(英語:Cross-site request forgery)
(3)SQL注入
7. 中間鍵學習
(1)中間鍵原理
(2)中間鍵的使用和配置
8. 常用linux學習
本期先維護瞭解到的部分,後續繼續接觸學習安全測試相關個人感覺學習基礎相關必須的部分會在進行補充並且根據學習擴充套件為理論文章