web渗透学习方向

本章写给新加入我们破晓工作室的学弟学妹。

我现在写的是渗透方向的学习方向。因为我参加了线上培训班，听了专门培训渗透的课程后。所以感觉我们工作室自学太累了。如果没有一个“正确”的学习方向都不知道该学些什么。

我因为只学了三周不到，只能写下目前我理解的学习方向。

在学习渗透之前我们需要有一定的基础功，比如一定的网络基础，php python的编程基础和一定的英语水平。如果想深入学习的话这些缺一不可了。（对于对口的来说会更容易上手）

web是一个很大很大的体系，我们在渗透之前要先“了解对方”，然后在尝试一系列的渗透方法，如果拿到账号密码，那么我们接下来要传木马来获取人家的数据库。这是我目前理解的最简单的过程。我先将我的课程目录写在博客中，大家可以根据课程目录来进行搜索学习，对于每章节的课程我会慢慢的补在博客中。

希望大家能够深入学习，让我们的工作室在比赛中大放光彩。

渗透测试基础

WEB安全介绍、TCP/IP协议、HTTP协议基础

Windows、linux\虚拟机及网站环境搭建

谷歌黑客、域名、端口信息收集

WEB安全原理

SQL注入楼洞

Cookie-http头-xff注入-宽字节注入

Sqlmap自定义payload+tamper脚本编写

xss漏洞介绍及其利用方法详解

CSRF、SSRF、SSRF、XXE漏洞

各类主流WAF绕过技术详解

文件上传以及中间件漏洞

命令执行漏洞

文件包含漏洞

越权访问、密码找回、支付等业务逻辑漏洞

各类暴力破解漏洞

Windows\linux服务器提权

开源CMS漏洞、0day挖掘

这些我复现完理解完之后就会做成相应的文章放入博客中，欢迎大家来查阅！