風(fēng)炫安全Web安全入門第一期課程總結(jié)
我們第一期的Web安全入門學(xué)習(xí)怀骤,已經(jīng)基本完成了拣度,這節(jié)課我們來最后做一下總結(jié)趣席。
這套Web安全入門學(xué)習(xí)是我從20年10月份開始,持續(xù)分享的一套課程孩哑,也是我第一次分享連續(xù)的課程癌蓖,按照caoz的名言“輸出倒逼輸入”怯晕,可以看到我還有是很多的缺點(diǎn)哟旗,特別是說話比較快,這個缺點(diǎn)我現(xiàn)在會慢慢的克服荣病,不過總的來說到今天也算是兌現(xiàn)了承諾码撰,堅持下來了,做了一個完結(jié)个盆,加上這節(jié)課總共課程分為50節(jié)課脖岛。
現(xiàn)在我把整個課程鏈接放到這里朵栖,提供給大家,很多人并沒有看過之前的全部視頻柴梆,那么今天我就這里集合發(fā)一下
第八節(jié)課 網(wǎng)絡(luò)基礎(chǔ)
第十三節(jié)課 Insert/Update/Delete注入
第十四節(jié)課 Http Header類型的Sql注入講解
第十六節(jié)課 高權(quán)限Sql注入的getshell
第十七節(jié)課 使用SqlMap進(jìn)行自動化注入(一)
第十八節(jié)課 使用SqlMap進(jìn)行自動化注入(二)
第十九節(jié)課 XSS漏洞基礎(chǔ)知識和原理講解
第二十八節(jié)課 CSRF攻擊原理與實(shí)戰(zhàn)
第三十節(jié)課 命令執(zhí)行&代碼執(zhí)行基礎(chǔ)
第三十一節(jié)課 代碼執(zhí)行&命令執(zhí)行實(shí)戰(zhàn)
第三十二節(jié)課 Python 語言可能發(fā)生的命令執(zhí)行漏洞入
第三十三節(jié)課 文件包含漏洞基礎(chǔ)以及利用偽協(xié)議進(jìn)行攻擊
筆記地址:https://github.com/fengxuangit/secnode
整理好了混槐,放在這里送給大家。
在這里呢轩性,還是簡單再介紹下我自己,我的ID是:風(fēng)炫狠鸳,高中就開始喜歡研究安全了揣苏,大學(xué)打過2次線下CTF,運(yùn)氣不錯拿了不錯的名次件舵,畢業(yè)后一直是在知名的網(wǎng)絡(luò)安全公司工作卸察,17年6月出來和朋友創(chuàng)業(yè),做了一些互聯(lián)網(wǎng)項目铅祸,有成功也有失敗坑质,目前是自由職業(yè)。
我一直做的都是后端開發(fā)临梗,安全開發(fā)涡扼。目前熟悉的技術(shù)棧:
- PHP/Python/Java 這三門編程語言。
- Linux/Shell linux算是比較熟悉盟庞〕曰Γ《鳥哥的linux私房菜》
- Mysql/Redis 關(guān)系型數(shù)據(jù)庫Mysql可以算得上是我的技能亮點(diǎn)。
- 略懂安全
因為17年6月之前一直在公司上班什猖,所以都是用Python當(dāng)作主要工作語言進(jìn)行開發(fā)票彪,17年6月之后由于和朋友開始做一些網(wǎng)絡(luò)項目,我還是選擇了PHP作為開發(fā)語言不狮,其實(shí)對于中小型互聯(lián)網(wǎng)應(yīng)用來說降铸,語言并不是限定性能的關(guān)鍵性因素。業(yè)務(wù)快速上線驗證商業(yè)模式對于我們來說才是最重要的摇零。
安全行業(yè)算是我的興趣愛好推掸,和一線紅隊人員經(jīng)驗相比,我肯定是有所差距遂黍。
于是在學(xué)習(xí)安全的過程中终佛,我發(fā)現(xiàn)了以下幾個痛點(diǎn):
-
知識碎片化
現(xiàn)在安全文章,教程非常多雾家,不過各個技術(shù)網(wǎng)站里面每個文章都是一個方向里面的細(xì)分技能铃彰,學(xué)習(xí)者如果天天在安全媒體上看技術(shù)文章會讓自己整的相當(dāng)焦慮以及迷茫。
信息檢索困難
我估計大多數(shù)的紅隊測試人員在實(shí)戰(zhàn)和工作的時候芯咧,都有在互聯(lián)網(wǎng)上搜索某一種組件牙捉、CMS竹揍、Web容器和操作系統(tǒng)的漏洞或者漏洞利用程序的需求,根據(jù)這些已經(jīng)發(fā)現(xiàn)的漏洞來測試自己的攻擊目標(biāo)邪铲,這一步的操作基本上都是會去搜索引擎搜索芬位,目前中文第一的搜索引擎顯然無法滿足安全人員的需求。-
信息難整合
目前安全媒體带到,如Freebuf昧碉,安全客,網(wǎng)安揽惹。這些網(wǎng)站都是非常不錯的技術(shù)和資訊類被饿,但是安全人員如果想了解媒體最新發(fā)生的技術(shù)潮流和事件需要輾轉(zhuǎn)幾個網(wǎng)站去瀏覽查看,比較費(fèi)時間搪搏。
通過以上的痛點(diǎn)狭握,我做了一個安全行業(yè)類的垂直搜索和信息整合網(wǎng)站https://evalshell.com,使用Django3.2+elasticsearch做搜索引擎
- 首頁即為搜索疯溺,直接搜索關(guān)鍵字论颅,出現(xiàn)相關(guān)漏洞文章。
- 全網(wǎng)文章收集全網(wǎng)安全相關(guān)文章囱嫩,節(jié)省信息獲取時間恃疯。
- 安全工具收集安全相關(guān)工具,節(jié)省找工具的時間墨闲。
- 安全專題整合閉環(huán)和系列的相關(guān)文章或者教程澡谭,防止學(xué)習(xí)碎片化。
當(dāng)然损俭,因為這個網(wǎng)站我剛做好還沒多長時間蛙奖,可能里面內(nèi)容還不是非常完善,不過不用擔(dān)心杆兵,我會在未來的時間里逐漸完善雁仲。
最后,如果大家感興趣的話琐脏,我可以多寫一些技術(shù)之外的東西攒砖,包括我創(chuàng)業(yè)時期的經(jīng)歷(17-18年創(chuàng)業(yè)讓我少奮斗了20年,跨到新一線中產(chǎn))日裙,和我目前的一些想法吹艇。
