Web安全知识的扎心10问

Web安全知识体系尤为复杂,下面我为大家做一个简易的知识盲区测试,若有三分以上答不上,还请诸位潜下心来求学吧。

关于Web安全知识的扎心10问

1、各种SQL注入类型:报错注入,布尔盲注,时间盲注,Dnslog盲注,二次注入,宽字节注入,还有伪静态SQL注入你都有了解吗?可否列举出更多注入方法?

2、sql xss xxe ssrf命令执行等无回显,如何测试证明漏洞存在?

3、php代码审计常见危险函数测试思路防御方法你了解多少?

4、 fuzz过狗方法你会写吗?

5、XSS绕过各种方法方式,针对不同符号编码都尝试过吗?

6、各种XSS类型漏洞,各种场景XSS Bypass实战详解你知多少呢?

7、遇到不同操作系统不同环境提权问题是否都能解决?

8、从webshell到怎么到内网需要的种种技术和思路,你脑海里拥有几种?

9、主流的 CMS ThinkPHP 框架代码审计学过没?时不时的爆出0day,能第一时间想到如何利用吗?

10、如无类似Wappalyzer这种可以识别网站的中间件,你能否用 Python 随手写一个能轻易识别?

如果以上都不懂也没关系,你只需要躺在床上闭上眼睛,你就可以开始一键挖洞,一键提交,一键换取收益迎接白富美走上人生巅峰23333

那么问题来了,我该如何进阶为一名 Web 安全高手呢?

对于基础薄弱的人来说,一般都是从 XSS、SQL 注入等简单的漏洞研究入门的。除了了解各种相关的术语,还需要对于 Web 应用要有一个基本的认识。在这的基础上,对于 HTML、JavaScript 要有基础的了解和使用,它们是 Web 应用架构中最重要的基础元素。其直接运行在浏览器上,渲染出网页。随后,便需要进一步了解 Web 应用的数据是如何通讯的——输入及输出。

对于基础较强的人来说,理论必结合实践,不断摸索尝试,例如遇到常规漏洞都没有的情况下,那么可以考虑从逻辑漏洞下手,逻辑漏洞情况多种多样,实践的多了,再拿到一个授权的测试站点,你就会潜意识知道到漏洞的存在点。渗透起来就会得心应手,而且逻辑漏洞不会很难,如遇程序设计的缺陷我们就可以逆向猜测程序员开发程序的逻辑结构从而找到漏洞,且只需要一个抓包工具,你就可以进行对数据包的分析与测试。

常规漏洞:

1.任意用户注册/密码找回2.逻辑越权漏洞3.支付逻辑漏洞4.逻辑设计缺陷漏洞5.……

单单这几个就有几十种漏洞情况了?不怕告诉你。常见的密码找回就有十种了。若无名师指导,Web安全谈何学起。

Web安全工程师技能一览表,请看下面的思维导图(冰山一角)。

看到这里有没有想摔掉手机,合上电脑到天涯去流浪的冲动?

版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

猜你还会喜欢下面的内容

中国领先的互联网域名及云服务提供商

为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

域名注册云服务器