对于很多想学渗透的同学来说,渗透测试要掌握的东西是非常多的,尤其是基础的知识,比如你要渗透某个web服务,你总得了解它的系统吧,而能搭建web服务的系统就有很多,window、linux等主流系统都要非常熟悉,所以很多时候虽然说web渗透的主要知识就是那些,但是很多地方却能衍生出很多东西。
web渗透需要哪些知识?分为基础、入门和精通。
前面说了,基础肯定要有的,比如最简单的电脑系统操作、http、搭建web服务,也可以理解为搭建网站,其次就是简单的网页代码,毕竟web渗透主要就是针对网页的,html就是必须掌握的,也是最为基础的代码,而php也是很重要的。
基础的web渗透包括很多小类别,每一个都值得研究,而且也要研究很久,比如sql很多人到现在都不知道原理,也不会手工去写注入代码。
前端常见漏洞:钓鱼、暗链、xss、点击劫持、csrf、url跳转
后端常见漏洞:sql注入、命令注入、文件上传、文件包含、暴力破解
想要精通web渗透,首先精通php是必须的,目前主流的web代码都是php写的程序,所以php是前提,其次是追求最新的技术,自己懂得不断更新新的知识,高手总是在不断的学习中,比如现在php是主流,可能过两年就变成其它语言了,那么做web渗透的人也要跟进学习,把入门的web渗透都学会后,更多的在精通阶段要学习好其背后的原理,拓展思维,把思维发散,同时懂得研究一些国际上的安全漏洞。
学习web渗透需要哪些知识没有详细的统计,但是可以确定的是基础的东西就那么多,但是想精通关键在于自己遇到问题有没有去深入研究,否则只会个皮毛,到了实战中,一窍不通没有思路是大部分人都会遇到的问题。