一、网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因遭到破坏、更改、泄露,系统能连续可靠的正常运行,网络服务不中断。简单来说。就是要保障我们的网络环境安全稳定,不被人破坏捣乱。
网络安全包含的范畴:
1.系统安全:这是保证信息处理和传输系统的安全,侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统的存储、处理和传输的消息造成破坏和损失。
2.网络的安全:网络上的系统信息的安全,包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计等。
3.信息传播的安全:即信息传播的后果的安全,包括信息过滤等,侧重于防止和控制由非法、有害信息进行传播所产生的后果。
4.信息内容安全:它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
网络安全的学习范畴:
1.网络的基础知识:了解网络的基本概念、协议和架构,比如TCP/IP协议、网络拓扑结构等。
2.计算机基础知识:理解计算机系统的工作原理,熟悉操作系统、硬件和软件的基本知识。
3.信息安全意识:提高对信息安全的认识,了解各类网络攻击的特点和危害。
4.密码学:学习密码学的基本原理和算法,如对称加密、非对称加密等。
5.网络攻击与防御技术:掌握不同类型的网络攻击技术,如入侵检测与防御、恶意软件防护等。
6.安全漏洞分析与修复:了解常见的网络安全漏洞和弱点,学习漏洞分析和修复的方法。
二、Web安全学习路线
##Web安全基础
···本阶段主要讲解Web安全领域下的必备基础知识与工具的使用
···包括网络协议、BurpSuite的使用、SRC挖掘等。
##业务逻辑漏洞
···本阶段主要讲解业内常见的业务逻辑漏洞,以及如何挖掘与利用业务系统逻辑漏洞
···包括URL跳转逻辑漏洞、信息轰炸漏洞、密码找回漏洞等,分析业务各类业务逻辑漏洞成因,以及挖掘与利用方法。
##SQL注入漏洞
···本阶段介绍MySQL数据库的应用与SQL注入实操,以及SqlMap应用
···了解数据库的用途与逻辑,以及Mysql数据库的使用,掌握SQL注入基础与SQL注入靶场的环境搭建,掌握SQL注入的各类注入方法,以及手动注入与自动化注入工具的实操。
##跨站脚本攻击漏洞
···本阶段讲解XSS漏洞原理、攻击手段、XSS漏洞利用方法、BeEF平台的使用,以及XSS漏洞修复手段
···掌握基本前段能力,了解软件前端的运行原理,掌握BeEF的XSS攻击应用、熟悉XSS的漏洞预防手段。
##跨站请求伪造漏洞
···本阶段主要讲解CSRF的成因、危害、攻击手段、漏洞利用、以及防御手段
···讲解CSRF的成因与危害,CSRF的攻击手段及应用,CSRF的防御手段讲解。
##服务器端请求伪造漏洞
···本阶段主要讲解SSRF漏洞的原理与发现,结合SSRF实现对内网敏感资源的获取,基于Redis实现反弹shell,以及SSRF的防御
···SSRF漏洞的基本概念讲解,敏感资源获取以及攻击Redis实现Shell反弹,SSRF常用防御手段讲解。
##漏洞挖掘技巧
···讲解漏洞挖掘的前期准备内容与流程,以及市场主流扫描器的部署、应用,以及漏洞扫描演练
···全面讲解SRC挖掘的前期的信息收集工作(包括IP信息、域名信息、网站信息等),便于后续的SRC的有效进行,讲解各类主流扫描器的应用(包括主动扫描器AWVS,被动扫描器Xray等)。
##文件包含漏洞
···本阶段讲解文件包含漏洞的原理、发现方法、利用手段、漏洞危害,以及主流的漏洞防御手段
···漏洞介绍,漏洞利用,漏洞修复,掌握文件包含漏洞的原理。
##文件上传漏洞
···本阶段主要讲解关于文件上传漏洞的成因、危害、各类检测绕过,以及基于WebShell+管理工具实现文件上传漏洞的攻击手段
···讲解WebShell的实现,以及基于WebShell管理工具的安装使用,讲解漏洞成因以及靶场的环境部署,讲解文件上传漏洞的主流防御机制。
##XML外部实体注入
···主要讲解XML的基本用法,XXE漏洞的探测手段、利用手段、以及常用的漏洞防御手段
···关于XML的基本用法,关于XXE漏洞的危害与探测,以及漏洞利用手段,漏洞的主流防御机制。
##中间件漏洞
···主要讲解中间件的基本概念,以及常用中间件的历史漏洞复现与利用
···中间件介绍,JBoss,Webblogic实现常用中间件的历史版本下的漏洞复现及利用。
##环境部署与主流工具应用
···主要讲解操作系统、基础工具和靶场的部署使用。
