먼저 웹 보안 포털에서 시작할 수 있습니다. 난이도가 상대적으로 낮습니다.
웹 보안을 배우려면 웹 보안 관련 개념, 침투 테스트 관련 도구, 침투 실전 운영, Windows/Kali Linux, 미들웨어 및 서버의 보안 구성, 스크립트 프로그래밍 학습, 소스 코드 감사 및 취약성 분석, 보안 시스템 설계 및 개발 등을 숙지해야 합니다.
간단한 학습 계획:
첫 번째 단계: 웹 보안 관련 개념
권장 학습 시간: 2 주
학습 내용은 다음과 같습니다.
1, 기본 개념 (SQL 주입, 업로드, XSS, CSRF, 말 목마 등) 에 익숙합니다.
2, 키워드 (SQL 주입, 업로드, XSS, CSRF, 말 목마 등) 를 통한 구글.
3, "웹 안전 심층 분석" 을 읽고 입문 학습으로 사용할 수 있습니다.
4, 일부 침투 노트/비디오를 보고, 침투 실전의 전체 과정을 이해하고, 구글 (침투 노트, 침투 과정, 침입 과정 등) 을 할 수 있다.
2 단계: 침투 관련 도구 숙지
권장 학습 시간: 3 주
학습 내용은 다음과 같습니다.
1, AWVS, Sqlmap, Burpsuite, Nessus, China chopper, Nmap, Appscan 등 관련 도구의 사용에 익숙합니다.
2, 이러한 도구의 목적과 사용 장면을 이해하십시오.
3, 이러한 소프트웨어의 뒷문 버전 없이 다운로드하여 설치합니다.
4, 배우고 사용합니다. 구체적인 교재는 I 춘추에서 검색할 수 있습니다. 예를 들면 Burpsuite 의 자습서, Sqlmap 입니다.
5. 자주 사용하는 이 몇 가지 소프트웨어를 모두 배운 후 음속 시동을 설치하여 침투 공구상자
를 만들 수 있다세 번째 단계: 실제 전투 작업 침투
권장 학습 시간: 5 주
학습 내용은 다음과 같습니다.
1. 침투의 전체 단계를 파악하고 소규모 사이트에 독립적으로 침투할 수 있습니다.
2. 인터넷에서 침투 비디오를 찾아 그 속의 생각과 원리, 키워드 (침투, SQL 주입 비디오, 파일 업로드 침입, 데이터베이스 백업, Dedecms 취약점 활용 등) 를 생각해 본다.
3. 직접 사이트를 찾아/테스트 환경을 만들어 테스트해 보세요. 자신을 잘 숨겨주세요.
4, 사고 침투는 주로 몇 단계로 나뉘며, 각 단계에서 어떤 작업을 수행해야 하는지, 예를 들면, PTES 침투 테스트 실행 기준.
5, SQL 주입의 종류, 주입 원리, 수동 주입 기술을 연구합니다.
6. 파일 업로드 원리, 어떻게 자르는지, 허점 이용을 해결하는 등, 참조: 업로드 공격 프레임.
7. XSS 형성의 원리와 종류를 연구한다. 구체적인 학습방법은 I 춘추에서 검색할 수 있다.
8, Windows/Linux 권한 부여 방법 및 구체적인 사용 연구, 참고할 수 있습니다: 권한 부여.
9, 참고할 수 있습니다: 오픈 소스 침투 테스트 깨지기 쉬운 시스템.
4 단계: 안전권 동적
에 집중권장 학습 시간: 1 주
학습 내용은 다음과 같습니다.
1. 안전권의 최신 허점, 안전사건, 기술문장 주목.
2, 일일 보안 기술 문장/이벤트를 탐색하십시오.
3. 웨이보, 위챗 안전권에 주목하는 종사자 (황소의 관심이나 친한 친구의 과감한 관심) 를 통해 매일 시간을 내어 닦는다.
4. feedly/ 신선한 과일을 통해 국내외 안전기술 블로그를 구독합니다 (국내에만 국한되지 말고 평소 축적에 더 많은 관심을 기울이십시오).
5. 습관을 기르고 매일 자발적으로 안전기술 문장 링크를 I춘추지역 사회에 제출하여 축적한다.
6. 최신 허점 목록에 더 많은 관심을 기울이면 춘추운경. com 을 볼 수 있다. 공개된 허점을 만나면 모두 실천한다.
7. 국내 국제안보회의 의제나 비디오를 주목한다.
8, 기술 교류군에 가입하여, 군내 거장들과 경험과 기교를 좀 가르쳐 주세요.
5 단계: windows/kali Linux 에 익숙 함
권장 학습 시간: 3 주
학습 내용은 다음과 같습니다.
1, Windows/Kali Linux 기본 명령, 공통 도구를 배웁니다.
2, ipconfig, nslookup, tracert, net, tasklist, taskkill 등 Windows 에서 일반적으로 사용되는 cmd 명령에 익숙합니다.
3, ifconfig, ls, CP, mv, VI, wget, service, sudo 등 Linux 에서 일반적으로 사용되는 명령에 익숙합니다.
4, Kali Linux 시스템에서 일반적으로 사용되는 도구에 익숙해지면 "web penetration testing with kali Linux", "Hacking with Kali" 등을 참조할 수 있습니다.
5, Metasploit 도구에 익숙한, metasploit 침투 테스트 가이드를 참조할 수 있습니다.
6 단계: 미들웨어 및 서버 보안 구성
권장 학습 시간: 3 주
학습 내용은 다음과 같습니다.
1. 서버 환경 구성을 배우고 사고를 통해 구성의 보안 문제를 발견할 수 있습니다.
2, Windows server2012 환경에서 IIS 구성, 구성 보안 및 운영 권한에 특별한주의를 기울이십시오.
3, 리눅스 환경 램프 보안 구성, 주로 실행 권한, 디렉토리 간, 폴더 권한 등을 고려합니다.
4, 원격 시스템 강화, 사용자 이름 및 비밀번호 로그인 제한, iptables 를 통한 포트 제한 소프트웨어 Waf 를 구성하여 시스템 보안을 강화하고 서버에 mod_security 와 같은 시스템을 구성합니다.
5, Nessus 소프트웨어를 통해 구성 환경에 대한 보안 테스트를 수행하여 알 수 없는 보안 위협을 발견했습니다.
7 단계: 스크립팅 프로그래밍 학습
권장 학습 시간: 4 주
학습 내용은 다음과 같습니다.
1, 스크립팅 언어 선택: Perl/Python/PHP/Go/Java 중 하나, 일반 라이브러리에 대한 프로그래밍 학습.
2, 개발 환경 구축 및 IDE 선택, PHP 환경 추천 Wamp 및 XAMPP, IDE 강력 추천 Sublime.
3, 파이썬 프로그래밍 학습, 학습 내용 포함: 구문, 정규, 파일, 네트워크, 멀티 스레드 및 기타 공통 라이브러리, 추천 "파이썬 코어 프로그래밍".
4. 파이썬으로 허점을 쓴 exp 를 쓰고 간단한 웹 파충류를 쓴다.
5, PHP 기본 문법 학습 및 간단한 블로그 시스템 쓰기, "PHP 및 MySQL 프로그래밍 (버전 4)", 비디오를 참조하십시오.
6, MVC 아키텍처에 익숙하고 PHP 프레임 워크 또는 파이썬 프레임 워크 (선택 사항) 를 배우려고합니다.
7, Bootstrap 레이아웃 또는 CSS 이해.
8 단계: 소스 코드 감사 및 취약성 분석
권장 학습 시간: 3 주
학습 내용은 다음과 같습니다.
1. 스크립트 소스 프로그램을 독립적으로 분석하고 보안 문제를 발견할 수 있습니다.
2. 소스 감사의 동적 및 정적 방법에 익숙하고 프로그램을 분석하는 방법을 알고 있습니다.
3, 웹 취약점의 형성 원인을 이해하고 키워드를 통해 찾기 분석을 한다.
4, 웹 취약점 형성 원리 및 소스 차원에서 이러한 취약점을 피하고 checklist 로 정리하는 방법을 연구합니다.
학습 주소: 이춘추홈페이지 (기업안전)
9 단계: 보안 시스템 설계 및 개발
권장 학습 시간: 5 주
학습 내용은 다음과 같습니다.
1. 자신의 안전체계를 세울 수 있고, 몇 가지 안전건의나 시스템 아키텍처를 제시할 수 있다.
2. 실용적인 안전가젯을 개발하고 오픈소스를 열어 개인의 실력을 구현한다.
3. 자신의 안전체계를 세우고, 회사 안전에 대한 자신의 인식과 견해를 가지고 있다.
4, 대형 보안 시스템의 구조 또는 개발을 제안하거나 가입한다.