在学习Web安全的过程中,深切地感受到相关的知识浩如烟海,而且很大一部分知识点都相对零散,如果没有相对清晰的脉络作为参考,会给学习带来一些不必要的负担。于是在这之后尝试把一些知识、想法整理记录下来,最后形成了这份笔记。希望这份笔记能够为正在入门的网络安全爱好者提供一定的帮助。
笔记内容总体分为四个部分。第一部分围绕一些基础知识和技巧进行了一定的说明,主要包括Web技术的发展与演化、安全领域的基本常识、计算机网络的基础知识等,这些知识是进行Web安全学习的基础。第二部分按照常见的渗透测试的顺序,对信息收集、常见的Web漏洞、常见语言与框架、内网渗透的技巧等进行了简单的讲述,开始学习渗透测试之后通常会接触到这部分内容。第三部分回到防御的视角,从安全团队的建设、威胁情报与风控等视角进行了描述,也对蜜罐、溯源等较为细节的技术内容作了一定说明。最后一部分推荐了一些工具与资源列表,也归档了一部分暂时没有分类的内容。
笔者所学浅薄、精力有限,在整理笔记的过程中难免存在一些错误或是不完整的部分,正在逐步修正和补充。如果存在疏漏、错误,欢迎各位读者以Issue或者PR的方式批评指正,感激不尽。
在编写笔记的过程中参考、摘抄了很多资料,都在文末留下了相应的链接,十分感谢文章作者的分享。其中笔记的在线版本可以点击这里查看。
- 序章
- Web技术演化
- Web攻防技术演化
- 安全观
- 计算机网络与协议
- 网络基础
- UDP协议
- TCP协议
- 路由算法
- 域名系统
- HTTP标准
- HTTPS
- SSL/TLS
- IPsec
- 信息收集
- 域名信息
- 端口信息
- 站点信息
- 搜索引擎利用
- 社会工程学
- 参考链接
- 常见漏洞攻防
- SQL注入
- XSS
- CSRF
- SSRF
- 命令注入
- 目录穿越
- 文件读取
- 文件上传
- 文件包含
- XXE
- 模版注入
- Xpath注入
- 逻辑漏洞 / 业务漏洞
- 配置安全
- 中间件
- Web Cache欺骗攻击
- HTTP 请求走私
- 语言与框架
- PHP
- Python
- Java
- JavaScript
- Golang
- Ruby
- ASP
- 内网渗透
- 信息收集 - Windows
- 持久化 - Windows
- 信息收集 - Linux
- 持久化 - Linux
- 痕迹清理
- 综合技巧
- 参考链接
- 防御技术
- 团队建设
- 安全开发
- 威胁情报
- ATT&CK
- 风险控制
- 加固检查
- 防御框架
- 蜜罐技术
- 入侵检测
- 应急响应
- 溯源分析
- 认证机制
- OAuth
- JWT
- Kerberos
- SAML
- 工具与资源
- 推荐资源
- 相关论文
- 信息收集
- 社会工程学
- 模糊测试
- 漏洞利用
- 持久化
- 防御
- 运维
- 其他
- 手册速查
- 爆破工具
- 下载工具
- 流量相关
- 嗅探工具
- SQLMap使用
- 其他
- 代码审计
- WAF
- Unicode
- 拒绝服务攻击
- Docker
git clone https://github.com/LyleMi/Learn-Web-Hacking.git
cd Learn-Web-Hacking
pip install sphinx sphinx-rtd-theme
make html
如果有任何的问题、意见或者建议欢迎以Issue或PR的形式提出,不胜感激。
感谢所有的贡献者。
项目以CC0 1.0许可证发布,可以点击这里浏览全文。
该笔记仅供学习和交流使用,请读者遵守《中华人民共和国网络安全法》,勿对非授权目标进行测试。