文章目录
  1. 1-5天:以最快的速度了解多门语言
    1. 第一天:
    2. 第二~四天:
    3. 第五天:
  2. 6-7天:SQL注入学习
    1. 第六天:
    2. 第七天:
  3. 8天:各种工具的使用
    1. 第八天:
  4. 9天:学习各种概念
    1. 第九天:
  5. 10-15 天:各种web安全漏洞
    1. 第10-15天

web15天极客All kill指南

有很多新生问我web如何学习,如何入门。尽管在第一次小组培训的时候讲过一点点,但看大家还是不太会这里给出一个自认为可以快速入门,并可以在短时间内学习大量web基础知识的一个时间表,也算是方法论。

15天All kill指南并不代表15天真的可以做完所有web题目,只是说如果照着这份表单做,即使做不出来web题目,也可以大致了解web安全的一些常见方向。有基础的小伙伴可以在这份列表中各取所需。

请注意:web安全是一个涉及广泛的领域,在入门的时候,很有可能你会为了学习A知识而先学习B和C知识,学习B,C知识前先要学习DEFG知识。因此目标导向的学习思路会使你在学习过程中不断接触到新的名词,新的知识,这需要你不断地学习,扩展你的知识面。另外在在不懂得时候,第一步想到的一定是:我怎么才能弄明白他。如果你想要问学长,那么提问的时候一定要加上你为了弄明白这个问题做了哪些事情。(因为学长不愿意回答什么都没有思考就提问的新生哦)如果你查询了百度,没有查到,那么你需要提一个令人愿意回答的问题:我遇到了XXXX问题,在百度搜索XXXXX,人们的回答是XXXX,我试了这些方法,并没有成功,那么我需要做些什么才可以解决这个问题?

1-5天:以最快的速度了解多门语言

第一天:

通过W3School以最快速度入门HTML,CSS和Javascript语言。地址:http://www.w3school.com.cn/

建议:在本地写同样的代码并查看结果是否和教程的结果相同。

第二~四天:

下载并安装phpstudy。

通过W3School以最快速度入门PHP,并在本地复现每一个教程中的代码,强调:不要复制网页中的代码,要自己手打。如果出现的结果和网页中的结果相同,则继续学习。地址:http://www.w3school.com.cn/php/index.asp

如果有些语句无法理解其含义,那就无脑抄一遍并执行,看到结果即可。请自行安排学习时间,调整学习效率,以至于在第四天的时候可以将PW3School PHP部分的“PHP数据库”学习完。(如果自愿爆肝学习,这是极好的,但请注意身体)

第五天:

通过W3School学习SQL语言,了解select/insert/update/delete,以及union select的语法。

本地执行SQL语言的方法如下:

  1. phpstudy开启,保证mysql是开启状态。
  2. 进入phpstudy安装目录/mysql/bin
  3. 在此处打开命令与提示符,或在其他地方打开cd到此处,输入mysql.exe -u root -proot,回车
  4. 输入create database tuzishifuzhuishuaile; (注意句末有分号)并回车
  5. 输入use tuzishifuzhuishuaile; 并回车

6-7天:SQL注入学习

第六天:

既然学会了SQL语句,那就动手做一下SQL注入题目吧!但是做之前,除了知道PHP和SQL语言以外,还需要知道SQL注入是什么,怎么注入。这里有一个我当时入门的教程,认真的看完前三课,极客题目的第一道注入题目就不成问题了。如果三节课完全搞定,却依然做不出来,请私聊管理们,因为还有一点点小坑。地址:http://www.baimaoxueyuan.com/course/index/video/id/54

第七天:

我猜你可能会用一整天时间看SQL注入的视频教程,虽然短,但是你需要在本地自己操作一下。我觉得一天还是需要的。如果你可以在几个小时内搞定,那你肯定没有完全吸收。除非你是个学霸XD,那么第七天就可以开始做极客的“故道白云”的SQL注入题目啦!相信你肯定没问题。

8天:各种工具的使用

第八天:

相信你SQL的100分已经拿到了,再接再厉!

之后的课程就需要一些工具啦,我这里推荐一些工具供你学习:

  1. python:请安装好。并将python加入到环境变量中,以至于在随处打开命令与提示符窗口输入python都可以打开python,方法自行百度。
  2. hackbar:这是一个firefox浏览器的插件,对于修改GET和POST请求,用这个插件非常的方便,而且这个插件可以解码一些编码,比如url编码,base64编码。(如果你并不知道上面提到的名词是什么,请百度学习一下)
  3. burpsuite:这是在做web题目最最常用到的工具,工具的详细使用说明可以看https://t0data.gitbooks.io/burpsuite/content/chapter3.html,为了做web题目,只需要学习到第三章“数据拦截与控制”就可以了。

9天:学习各种概念

第九天:

第九天到了为什么还没有开始继续做题呢?是因为还有一些概念不懂就没法做题~

那么下面给出一个你需要了解的概念的列表,你需要自己去百度查询到底这些是什么,这样下次别人滔滔不绝的时候起码能听懂他在说什么。如果你有精力,最好可以深入的学习一些这些东西,并自己实践一下。

  1. URL编码

  2. HTML编码

  3. Base64编码

  4. 数据包

  5. HTTP响应头,都有哪些,都是做什么的

  6. GET传参,POST传参,怎么传参

  7. HTTP协议是什么

  8. MD5是什么

  9. github

  10. writeup

  11. webshell

    ——以上是非安全概念,下面是安全概念—–

  12. 信息泄露/源码泄露

  13. 暴力破解

  14. SQL注入

  15. XSS

  16. CSRF

  17. 远程命令执行

  18. 代码执行

  19. 文件包含

  20. 任意文件上传/下载/删除

  21. 逻辑漏洞

    ——如果你精力旺盛,还可以了解一下下面的概念——

  22. XXE

  23. SSRF

  24. 序列化漏洞/反序列化漏洞

  25. 变量覆盖

  26. DDOS

  27. CRLF

  28. DNS协议

  29. Apache/IIS/Tomcat/Nginx

是不是很吓人!这么长!别担心,这些都是一些概念,只需要你知道这是啥东西就可以了,而且从11下面的内容,即使你并不了解也没关系,因为后面也会学习到。

10-15 天:各种web安全漏洞

第10-15天

你终于弄明白了一大堆概念究竟是什么,现在终于可以开始学习安全漏洞,利用了!那么10到15天就是学习这些知识的时候了。

提示:所有的漏洞请务必在本地复现

  1. SQL注入漏洞:sql-lab
  2. 文件包含:http://www.cnblogs.com/iamstudy/articles/include_file.html
  3. 逻辑漏洞:php是弱语言,要注意常见的用于判断的函数:http://www.blueshoes.org/en/developer/php_cheat_sheet
  4. 变量覆盖:<白帽子讲安全> - php漏洞章节中所总结的
  5. 代码执行:<白帽子讲安全> - php漏洞章节中所总结的
  6. xss漏洞:书籍: ,刚开始学会有点懵,而且东西也多,核心问题其实就是同源问题(各种跨域方式),然后就是xss点的输出位置与构造(什么时候js编码,什么时候html编码等等),最后就是xss能够实现的事情做攻击。
  7. csrf漏洞:http://wooyun.jozxing.cc/static/drops/web-15556.html

好吧,我承认上面的漏洞对你来说要求太高了,五天我也觉得做不完。XD但如果你真的坚持到了15天,相信我,你在新生中肯定是TOP5,三叶草小组也欢迎做到这一步的你^_^

支持一下
扫一扫,支持forsigner