随着 Web 技术发展越来越成熟,而非 Web 服务越来越少的暴露在互联网上,现在互联网安全主要指的是 Web 安全。
为了自身不“裸奔”在大数据里,渐渐开始学习 Web 安全,在学习 Web 安全的过程中,发现很大一部分知识点都相对零散,如果没有相对清晰 的脉络作为参考,会给学习带来一些不必要的负担。于是之后就把一些知识、想法整理记录下来,最后形成了这份《Web 安全学习笔记》。这份文档共 11 个章节 327 页,对网络协议、漏洞攻防、内网渗透、防御技术等内容做了详细的讲解,希望这份笔记能够为正在入门的你提供一定的帮助。
部分目录
1.1. Web 技术演化
1.2. Web 攻防技术演化
1.3.安全观.#####2.计算机网络与协议
2.1.网络基础
2.2. UDP 协议
2.3. TCP 协议
2.4. DHCP 协议
2.5.路由算法
2.6.域名系统
2.7. HTTP 标准
2.8. HTTPS
2.9. SSL/TLS
2.10. IPsec
3.信息收集
3.1.域名信息
3.2.端口信息
3.3.站点信息
3.4.搜索引擎利用
3.5.社会工程学
3.6.参考链接
4. 常见漏洞攻防
4.1. SQL 注入
4.1.1.注入分类
4.1.2.注入检测
4.1.3.权限提升
4.1.4.数据库检测
4.1.5.绕过技巧
4.1.6. SQL 注入小技巧 4 4.2. XSS
4.2.1.分类
4.2.2.危害
4.2.3.同源策略
5.语言与框架
5.1. PHP
5.1.1.后门
5.1.2.反序列化
5.1.3. Disable Functions
5.1.4. Open Basedir
5.1.5. phpinfo 相关漏洞
5.1.6. PHP 流
5.1.7. htaccess injection
5.1.8. WebShell
5.1.9. Phar
5.1.10.其它
5.1.11.参考链接 5.2. Python
5.2.1.格式化字符串
5.2.2.反序列化
5.2.3.沙箱
5.2.4.框架
5.2.5.危险函数/模块列表 5.3. Javab 5.4. JavaScript5.5. Golang5.6. Ruby5.7. ASP
6. 内网渗透
6.1.信息收集- Windows
6.2.持久化- Windows
6.3.域渗透
6.4.信息收集- Linux
6.5.持久化- Linux
7. 防御技术
7.1.团队建设
7.2.安全开发
7.3.威胁情报
7.4. ATT
7.5.风险控制
7.6.加固检查
7.7.防御框架
7.8.蜜罐技术
7.9.入侵检测
7.10.应急响应
7.11.溯源分析
总结
希望能帮助大家尽快入门
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
文章浏览阅读3.7k次。TP6反序列化漏洞复现_如何验证thinkphp6.0.12反序列化漏洞
文章浏览阅读144次。欢迎关注今日头条号、微信公众号、知乎号:仰望夜空一万次 随意聊聊并记录从小城市到上海工作生活的所思所想。不去记录,有些事情都好像没有发生过。阅读redis.conf文件,翻译后加强自己的理解。############################## MEMORY MANAGEMENT ################################# Set a memory usage limit to the specified amount of bytes.# Whe._redis # redis reclaims expired keys in two ways: upon access when those keys
文章浏览阅读3.2k次,点赞2次,收藏17次。用友集团ERP客户化开发系列丛书NC客户化开发进阶培训教程V2.0版本教程是用友软件股份有限公司内部培训资料,只限于用友公司内部开发应用,任何人未经过事先书面许可不得扩大本教程的使用范围。同样,未经过用友公司书面许可,任何人不得以任何形式对本手册进行增删、改编、节选、翻译、翻印或仿制,违者必究!?本手册的著作权属于用友软件股份有限公司版权所有?翻制必究2009年1月第一...
文章浏览阅读1k次。转载请注明出处:http://www.cnblogs.com/fangkm/p/4401075.html前言插件一直是浏览器的重要组成部分,丰富浏览器的运行能力,实现一些HTML+JS实现不了本地应用(比如音视频、文件操作等)。早期广为熟知的是IE下的插件ActiveX,这是一项熟悉可能暴露年龄的技术,它基于COM规范,在IE占浏览器市场主流份额的时代,ActiveX可谓出尽了风头,但它并..._ppapi中postmessage调用
文章浏览阅读584次。stm32cubemx 生成iar工程系统无法运行问题stm32cubemx 生成的stm32f765工程无法正常运行,最后确认为操作系统不调度,处理方法如下:void SysTick_Handler(void){ /* USER CODE BEGIN SysTick_IRQn 0 */ SysTick->CTRL; HAL_IncTick(); if (xTaskGetSchedulerState() != taskSCHEDULER_NOT_STARTED) { /_cubemx生成的工程在iar上运行不起来
文章浏览阅读6.8k次。直方图均衡化的作用是图像增强。有两个问题比较难懂,一是为什么要选用累积分布函数,二是为什么使用累积分布函数处理后像素值会均匀分布。第一个问题。均衡化过程中,必须要保证两个条件:①像素无论怎么映射,一定要保证原来的大小关系不变,较亮的区域,依旧是较亮的,较暗依旧暗,只是对比度增大,绝对不能明暗颠倒;②如果是八位图像,那么像素映射函数的值域应在0和255之间的,不能越界。综合以上两个条_c++直方图均衡化原理
文章浏览阅读4.3k次,点赞20次,收藏15次。错误的做法public Text text;text.color=new color(100,100,100,100);这样运行以后,ui的颜色一般为白色,无论你设置的是什么数字!正确做法public Text text;text.color=new color(100/255f,100/255f,100/255,100/255f);格式是new color(你需要设置的数字/255f,你需要设置的数字/255f,你需要设置的数字/255f,你需要设置的数字/255f)Warning千_unity 修改button rgb
文章浏览阅读495次,点赞23次,收藏8次。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。这是一套 100% 原创的学习路线,它坚持实用主义,追求前沿技术,不但为初学者规划好了具体的学习步骤,还指明了常见的陷阱和困难。
文章浏览阅读99次。建立远程仓库进入需要的建仓库的文件夹,初始化本地仓库将所有变化提交到暂存区4. 提交代码到本地仓库5. 关联远程仓库6. 拉取远程仓库7.强制将本地分支推送到远程分支8.推送成功...
文章浏览阅读1.7w次,点赞5次,收藏3次。当使用docker login -u xxx -p xx时,报WARNING! Using --password via the CLI is insecure. Use --password-stdin.提示解决:1. 将密码写入到一个文件中,例如/etc/docker_passwd文件2.使用以下命令执行登录:cat /etc/docker_passwd | docker login --username 用户名--password-stdin..._warning! using --password via the cli is insecure. use --password-stdin.
文章浏览阅读73次。由于新浪博客书写保存问题,以后博客所在目录为CSDNMa_Hong_Kaihttps://blog.csdn.net/Ma_Hong_Kai/article/details/82734720(至于剩下的未写完的会在CSDN上更新) ...
文章浏览阅读117次。引言古人云:“活到老,学到老。”互联网算是最辛苦的行业之一,“加班”对工程师来说已是“家常便饭”,同时互联网技术又日新月异,很多工程师都疲于应付,叫苦不堪。以至于长期以来流传一个很广的误解:35岁是程序员工作的终点。如何在繁忙的工作中做好技术积累,构建个人核心竞争力,相信是很多工程师同行都在思考的问题。同样的工作、同样的做需求,为什么有的人只能在现有岗位上缓慢前行,而有的人却能进阿里,本文..._15096683069