之前已经基本学习实践了常见的web安全漏洞的利用和解析的方法. 还是比较痛苦的,因为基本都是手写漏洞利用的代码跟手注. 可能有很多的坑自己不小心踩了,也没有任何的自动化.
那么.工欲善其事必先利其器. 就开始迎来安全武学的外功招式了. 当然,学武学就知道,通用的武学,内功深厚的人跟菜鸟的区别是非常大的.
1. 体系
大致分为四类 :
- 浏览器和浏览器扩展
- 代理抓包工具
- web漏洞扫描工具
- 在线工具
来个合影先~
2.web安全工具基础
浏览器软件相关 (常见3款)
firefox > chrome >ie 一般来说,因为firefox上有一些非常经典的插件,这些chrome上质量还有点低.(bug多)
除了安装使用,我们还需要调教一番它们的设置.以及琢磨一下它们各自的f12. (firefox目前优化最多),chrome跟firefox直接在设置里面就能找到,就不多说. 单独说一下IE的. 稍微隐蔽一点.(避免实战都被拦截了)
浏览器debug相关(f12,这个自己摸索一下)
3. 实战效果
优先使用网络提供的平台环境. 不要随便取hack website
工具一般主要去官网获取.安全知识涉及的面很广. 要注意知识屏蔽,以后再去细究.那么工具环节结束之后基本就应该拥有入门的实战基础了.基本渗透的步骤大致如下:
1,发现漏洞 2.验证漏洞 3.分析原理 4.获取权限.5.修复漏洞
后台的登录crack比如:
可以自己去扫描一些东西,然后去想一下中间的过程. 后台是否是前端控制的权限跳转. 可不可以禁用js? 等等.也可以这样
重要的不是工具跟技巧. ==而是实现原理以及测试思路的思考== .
4.谨记
很多人都梦想有一个牛x的师傅带,然后几十天笑傲江湖. 其实就算是武侠小说…的主角,开挂也是需要冬练三九夏练三伏才能有制衡的真正武艺的.
