关于CTF的web⼊门或web渗透⼊门,⼀些想说的
搞CTF的web已经⼀年多了,虽然不能说是技术已经可以了,但是多多少少的踩过很多坑。
最近很多⼈在问我想打CTF,我学想搞web,怎么⼊门。很多⼈都在困扰这个问题,我依据我⾛过来的路,谈谈我⾃⼰的所谓的“经验”吧!只是个⼈的⾓度谈谈罢了,不喜勿喷。
数据库学习入门书籍
搞web吧!⾸先就是要去学⼀些web的基础知识,要去学⼀些HTML知识,了解HTML语法,懂它的框架。能看懂就好,不需要花费太多时间,看看就⾏,反正在以后的F12过程中,会慢慢熟悉的。还有就是了解OSI七层模型
知道什么是HTTP请求头跟响应头,能看懂HTTP头的内容,⼤致了解每⼀个头的含义,CTF的很多⼊门题,都是从它的HTTP头⼊⼿的。最好去抓⼀个HTTP的包,理论结合实践分析,从⽽更好的了解什么是HTTP请求(响应)头。
这⼉说到抓包了,那就得谈谈搞web的⼀个必不可少的⼀个软件了,就是Burpsuite,说明⼀下,因为这
个是⽤Java写的,所以你要是想要运⾏,就要安装Java环境,很多⼈看到 ⽹站上提供JRE和JDK的两种不同的Java环境安装包,不知道下那个好,在这⾥我稍微科普⼀下吧!JRE是⼀个运⾏Java⽂件的⼀个环境,直接傻⽠式装JRE的安装软件就⾏,装还之后就能跑Java的软件了(就像Burpsuit),⽽JDK呢,他是开发Java所需要的环境(JDK包含JRE)安装它需要配置环境变量,这东西可⾃⾏百度。还有就是装好之后要配置⼀些代理,可以从浏览器设置中配置值代理。但是我个⼈⽐较推荐插件设置,因为插件设置更简单直接⽅便,这⾥我推荐Proxy Switchy Omega这个插件,可以⼀键切换,⽤的时候很⽅便。当然⾃⼰有其他喜欢的可以去安装其他的插件。
还有就是多实践,这⼉推荐⼀波靶场吧
⿊客游戏
………………………………………………………………………………………………
CTF平台
………………………………………………………………………………………………
还有就是经验分享了,在刷题的时候,注意记笔记,千万要记笔记,或者是可以⾃⼰弄⼀个博客。
因为Web套路很多,你⼀次不能能看尽搜有的套路,把他记录下来,然后随⽤随查,看看它所涉及的知识点很有⽤,这⼉推荐有道云笔记和印象笔记都挺好⽤的,看⾃⼰的个⼈习惯了,还有就是这⾥⾯你可以写你做题的⼀些writeup还有就是记录⾃⼰所研究的⼀些东西,在研究过程中写⼀下⾃⼰踩的坑都可以记录下来对以后挺有帮助的。
对了,还有就是要学会⾃⼰搭建⽹站,简单点的可以使⽤phpstudy,这个是集成好了Apache,PHP,mysql的⼀体化环境,当然也可以⾃⼰弄⼀个阿⾥云的学⽣服务器,可以弄⼀个阿⾥云的学⽣服务器,价格很便宜9.5/⽉,24岁以下⾃动认为是学⽣,弄那个服务器端的时候,推荐去弄LAMP环境的,它所⽤的是Linux的操作系统同时也包含了,Apache,PHP,MySQL三件套,简单⽅便,申请时候,直接把⾃⼰的PHP⽂件上传到服务器上就能访问了,连接服务器的是后可以⽤Xshell和Xftp(⽹上很多破解版的)⽤Navicat可以连接云服务器的数据库。因为做渗透嘛不能只⽤别⼈的靶场,要学会⾃⼰搭建⽹站,尝试做⼀些渗透练习,可以在GitHub上⼀些源码⾃⼰练习,也可以⾃⼰写⼀下php⽂件,搞⼀下代码审计。
还有就是书籍推荐
学web⼊门吧推荐是《web安全深度剖析》虽然内容有些⽼,但是对新⼿⼊门很友好。
《web前端⿊客技术揭秘》偏向于前端⿊客知识,都是些理论话的东西
还有是徐焱的《web安全攻防》这本书偏向于web渗透实战,⼿把⼿教你如何搭建环境。还有配套的源代码,可以边搞实战技巧边玩代码审计。再然后就是道哥的《⽩帽⼦讲web安全》了,萌新读这个可能会有点困难,但是这本书不可不读,⾥⾯的思想⽅法值得学习。
中后期就是偏向于编程和脚本了,搞web⾸先就是要学号PHP,然后可以学python(CTF题⽬很多是要写脚本的)
学好编程并能写⼀些简单的⼯具是web渗透的分⽔岭。。。。
(待更。。。。)

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。