关于前端:安全测试工程师超实用的Web渗透测试学习路线～

作者：云牧青
起源：恒生LIGHT云社区

前言

本文整顿的学习路线，清晰明了，重点明显，能疾速上手实际，置信想学的同学们都能轻松学完。都是干货啦，先珍藏⭐再看吧。本文偏根底能让萌新们疾速摸到*测试的门道，少走弯路，也能让正在学习的小伙伴们查漏补缺，也欢送大佬们在评论区斧正谬误~

先上脑图

其实平安测试须要的知识面是十分广的，但跟着教程有重点地学习还是能很快理清思路上手测试的，后续能够本人深入研究，吃透这些畛域的常识。

首先咱们要理解什么是*测试。

咱们晓得业务性能、逻辑的测试有黑盒测试和白盒测试，前者把程序看作一个不能关上的黑盒子，在齐全不思考程序内部结构和外部个性的状况下，在程序接口进行测试，次要测试程序前台展现的性能。后者通过查看软件外部的逻辑构造，对软件中的逻辑门路进行笼罩测试，次要用于检测软件编码过程中的谬误。

在软件平安测试方面，测试相似于黑盒测试，通过模仿的防御非法，来测试软件是否存在安全漏洞。此外代码审计相似于白盒测试，用于查看源代码中的平安缺点。因为保障软件的平安品质须要贯通软件的整个研发周期，进入平安行业后，大家会发现还有很多其余机制的，但这都不在本篇探讨范畴，大家只需晓得，*测试只是最初的平安品质验收阶段。

软件依据运行应用场景分为很多种，PC桌面端软件、手机APP软件以及浏览器应用的Web软件等。本文探讨的就是Web软件的*测试。

本文分为基础知识、工具应用、根本破绽和实际四局部，能够按照这个程序学习，也能够灵便食用。举荐把握基础知识后，上手一下测试工具，而后学一个破绽，立马实际一下。

最初说一下本文的熟练度：把握>深刻理解>理解。连忙往下学起来吧！

一、基础知识

要进行Web*测试所需的常识，有重点划分，有些理解一点就行。后续能够深刻，当然深刻起来每个都能够是一个本科课程。

1.1 信息安全（理解）

学习信息安全是为了造就安全意识，做*测试心中当然要有个规范，晓得什么是平安的什么是不平安的，一些破绽的评判规范并不是固定的，呈现简单状况就须要咱们本人判断。

这个课程比拟小众，能够去慕课网看看，个别看《信息安全概论》即可

https://www.icourse163.org/search.htm?search=%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8#/

这个课程能够在学习打算中排到较低的优先级，都是入门的，能够算视线拓展了，理论作用不大。能够理解信息安全的几个因素、*防御流程、访问控制模型、信息安全的其余模型和行业标准。

1.2 密码学（深刻理解）

这个其实也是信息安全中的内容，然而内容较多有时可能会独自拿进去。

密码学有助于咱们了解ssl、https、web利用中的明码加密传输环节。

要把握的内容有：

哈希算法的定义，哈希算法的暴力破解、字典破解和彩虹表。

对称加密和非对称加密

具体算法咱们不要求把握，单要熟记了解各种加密的加密过程、优缺点、利用场景等。

除了去找零碎的课程，我给大家举荐一个科普视频，有助于疾速理解。

信息传输中的安全隐患

对称加密/非对称加密/混合加密

哈希函数/音讯认证码/重放防御

数字签名/防预先否定/中间人防御

数字证书/证书链与CA/HTTPS

1.3 计算机网络

计算机网络在web*测试中无疑是最重要的根底，咱们抓包、扫描主机凋谢的其余服务端口等，都是在计网根底之上的。后续小伙伴们想深刻学习举荐《计算机网络自顶向下办法》，此书像剥洋葱一样解说了咱们目前应用的网络是如何一层一层封装的，其中除了面试常问的tcp握手等较常见的问题，还有阻塞机制等。

1.3.1 分层模型（理解）

理解tcp/ip五层模型，OSI七层模型。理解哪一层有哪些罕用协定，要晓得这些协定并不是随便地在实践上分层分类，而是有理论的封装关系的。

1.3.2 IP、TCP协定（把握）

深刻了解ip局域网和公网、tcp套接字、路由器NAT转发等。日后纯熟了要能晓得局域网IP段、相熟一些常见的服务端口。

次要是搞懂一些IPv4的机制，为咱们日常解决某些问题提供实践撑持。如测试给的环境咱们必定都能拜访，然而如果感觉存在某个破绽，想通过管制服务器回访咱们本人的电脑来证实存在破绽，这时如果服务器在公网，而你在某个局域网则会拜访失败。

举荐视频：

【硬件科普】IP地址是什么货色？IPV6和IPV4有什么区别？公网IP和公有IP又是什么？

顺便把DNS也理解一下，后续应用dnslog有用。

【硬件科普】能上QQ然而打不开网页？详解DNS服务，DNS解析，DNS劫持和净化

1.3.3 HTTP协定（把握）

理解HTTP报文格式、把握一些常见头属性的作用、理解一些常见的状态码、把握各种HTTP办法（GET、POST、OPTION、TRACE、PUT、DELETE等）及其参数格局和编码。

https://zhuanlan.zhihu.com/p/70949908

https://www.cnblogs.com/an-wen/p/11180076.html

1.3.4 SSL、HTTPS（深刻理解）

咱们在发现一些敏感信息明文传输时，会要求应用前端加密或https协定来修复。咱们须要理解为什么认定https是平安的。到前面咱们开始实际后，还能够返回来思考，为什么咱们须要在浏览器导入工具的证书？为什么服务器用了https咱们仍能够抓包看到明文？

弄清ssl和https的关系，简略地说https=http+ssl，然而ssl技术也可用于加密其余通信。还要ssl在网络分层模型中在第几层，弄清https中数据封装的程序，http、tcp、ssl的先后。

材料：【硬核】HTTPS原理全解析

1.4 Web前端（深刻理解）

次要是学会一些html和JavaScript，能力测XSS破绽，css款式咱们很少不波及。

html即超文本标记语言，只需理解它有标签和属性，浏览器会渲染他们使文本出现一些简略的款式。具体有哪些标签不必去记。

JavaScript是网页的脚本语言，管制着网页的行为，属于动静编程语言，灵便弱小。跨站脚本防御中的脚本指的就是 JavaScript。咱们学习JavaScript并不是拿去写前端的，只是用于测试网页是否存在破绽，侧重点在于搞懂有哪些形式可能触发js代码，也就是花式触发js代码，咱们个别用函数alert来证实js被触发。

常见的几点：script标签、所有标签中的事件、局部标签中的src属性和href属性data属性。

古代 JavaScript 教程

1.5 浏览器机制（把握）

把握浏览器同源策略、web身份认证

同源策略和cookie独特撑持起了web的身份认证根底。

浏览器的同源策略

一文带你看懂cookie，面试前端不必愁

1.6 SQL

要求学会根本语法即可。支流的数据库有MySQL和Oracle，二者语法有些差异。

举荐先学MySQL，看书即可，举荐《MySQL必知必会》，很薄很小的一本书，很快就能啃完。

至于Oracle，补习一下字符串拼接、对应的sleep函数等，就能够应酬sql注入了。

1.7 linux shell

若是碰到命令执行的点，学习一下一句话反弹shell，以及反引号的命令替换，即输入字符串时，把字符串中反引号的局部替换为其执行的后果。当然，最好先用nmap扫描一下确认是Linux机器。

想要上手Linux命令行or运维等，举荐教程：

【狂神说Java】Linux最通俗易懂的教程阿里云实在环境学习

1.8 行业术语

白帽子：个别指侧面的*

Payload：无效的防御代码

Poc：能够说是破绽验证程序，运行这个程序就能够检测是否存在破绽。一些验证起来繁琐、步骤多的破绽，能够写Poc来提高效率。

CVE：英文全称是 “Common Vulnerabilities & Exposures” 通用破绽披露。CVE就如同是一个字典表，为宽泛认同的信息安全破绽或者曾经裸露进去的弱点给出一个公共的名称。

反序列化：能够了解为序列化是指将一个数据结构输入为字符串的过程，反序列化是依据字符串生成数据结构的过程，在Java后端中字符串是json格局，数据结构就指类。

其余一些属于可能字面意思就能了解，如弱口令、弱明码、短信轰炸……

二、工具应用

2.1 BurpSuite

这个是咱们*测试的利器，除了弱小的抓包、重放性能，还有暴力破解、反对插件等。

burpsuite实战指南

重点是Proxy模块以及证书装置，配置好就能开始抓包了；Repeater模块是重放，很简略；Intruder模块是暴力破解，有时候可能须要字典，然而测试过程中证实暴力破解个别不须要真的去找个几千几万甚至几十万的字典…

笔者只说一个技巧，就是如何排除浏览器本身的包、心跳报文等垃圾信息的烦扰。

1. Proxy的Option中勾选最上面的Don’t send items to Proxy history or live tasks, if out of scope
2. Target的Scope中Include in scope中增加一个any，Exclude from scope中增加你的黑名单url，反对正则，也能够在Proxy中选中报文右键Remove from scope增加
3. 保留规定，每次启动时主动加载

2.2 netcat

平安测试中的瑞士军～刀，应用个别是 nc -lvvp

用于接管反弹过去的shell，或是接管http申请。

2.3 dnslog

在1.2.2 IP、TCP协定（把握）中咱们提到，有些状况咱们须要一个公网机器来接管被测服务器的申请，如果是简略的http申请等，咱们能够应用dnslog

如果是文件蕴含，近程调用，那只能应用公网主机了。

2.4 sqlmap

新人能够试试，自动检测sql注入的工具。

个别咱们都把burp的报文保留到txt里，这样就间接有cookie了，而后在要注入的点打上星号*，sqlmap运行 python sqlmap.py -r %filepath% 即可，其它参数：

https://www.cnblogs.com/insane-Mr-Li/p/10150165.html

个别会追加一些参数来指定胜利注入后，干一些什么事，如执行系统命令、列出数据库名等。

2.5 Nmap

次要用于扫描主机凋谢的不平安的服务，以及判断操作系统类型（当然这个参考就行，不肯定准）

装置带图形界面的，扫描时配置选all TCP ports

三、根本破绽

学习和疾速上手业务方面的平安问题，我举荐书籍《Web*指业务平安实战指南》，这本书比之前举荐的必知必会要厚，但其实字数不多，也很好了解，看一遍不会花太多工夫，然而能让读者疾速入门实际。

再进一步学习举荐《白帽子讲Web平安》

其实大大小小地破绽很多，甚至每个CVE都能算一个破绽，然而哪些要笼罩测试，依据本人的状况而定，本人能够列一个测试清单。一些破绽的测试技巧甚至步骤都是固定的，这里列举一下，大家自行整顿。

• 认证模块、用户零碎

  • 信息泄露
  • 暴力破解
  • 认证绕过
  • 登录处注入

• 配置平安 用户零碎

  • cookie未设置HttpOnly
  • 开启了不平安的HTTP办法
  • Host头防御
  • URL跳转
• Session测试

• 用户权限治理

  • 未受权
  • 越权拜访
• 信息泄露
• 文件上下载
• CSRF & *F

• XXE内部实体注入

  • 报文注入
  • 导入文件注入
• SQL注入
• XSS脚本注入
• 服务端命令注入
• 逻辑破绽

最初再举荐一个我的项目 owasp top10 ，开放式Web应用程序平安我的项目（OWASP，Open Web Application Security Project）是一个非营利性组织，它提供无关计算机和互联网应用程序的公正、理论、有老本效益的信息。其top10我的项目列出了Web前10的破绽，有趣味的能够钻研钻研。

四、实际

学了常识当然要实际测验一番能力加深了解和记忆，然而没有网站测怎么办呢？测公网上经营的网站是不可取的哦。

用于练习的网站咱们称之为靶机或靶场，举荐dvwa，一个用php写的web服务，咱们下载phpstudy就能搭建

DVWA+Phpstudy靶场平台搭建

搭建好就能本人练习了，能够本人先过一遍。没思路的话能够看教程。lonehand曾写了一系列很好的教程，然而最近都被freebuf下架了，能够看看这里的搬运：

https://www.cnblogs.com/linuxsec/category/912871.html