1�����、編程語言: Python���,PHP���,web前端三件套(HTML/CSS/JavaScript 基礎(chǔ)),Mysql����。作為一種高級編程語言�����,Python越來越受到網(wǎng)絡(luò)專家的歡迎���。它之所以吸引人,主要是因為它代碼的可讀性����、語法清晰和簡單,以及大量庫的可用性�。PHP是用于開發(fā)網(wǎng)站的服務(wù)器端編程語言���。由于大多數(shù)網(wǎng)站都是使用PHP創(chuàng)建的����,因此學(xué)習(xí)該語言可以讓你了解如何抵御入侵者��。SQL(結(jié)構(gòu)化查詢語言)主要用于管理存儲在數(shù)據(jù)庫中的數(shù)據(jù)�。由于當(dāng)前數(shù)據(jù)存儲系統(tǒng)的爆炸式增長,SQL被廣泛用于維護(hù)和檢索數(shù)據(jù)�。同樣,黑客越來越多地編排語言來破壞或泄露存儲的數(shù)據(jù)�����。例如,SQL注入攻擊涉及利用SQL漏洞來竊取或修改數(shù)據(jù)庫中保存的數(shù)據(jù)�。因此,充分了解SQL語言對于網(wǎng)絡(luò)安全至關(guān)重要���。2���、開發(fā)工具: Phpstrom、Pycharm�、Navicat 等。PhpStorm 是 JetBrains 公司開發(fā)的一款商業(yè)的PHP集成開發(fā)工具��,旨在提高用戶效率�����,可深刻理解用戶的編碼�����,提供智能代碼補全�,快速導(dǎo)航以及即時錯誤檢查。PyCharm是一種Python IDE(Integrated Development Environment����,集成開發(fā)環(huán)境)�����,帶有一整套可以幫助用戶在使用Python語言開發(fā)時提高其效率的工具�����,比如調(diào)試����、語法高亮�����、項目管理��、代碼跳轉(zhuǎn)��、智能提示��、自動完成�����、單元測試�、版本控制?����!癗avicat”是一套可創(chuàng)建多個連接的數(shù)據(jù)庫管理工具����,用以方便管理 MySQL、Oracle��、PostgreSQL�、SQLite、SQL Server�����、MariaDB 和/或 MongoDB 等不同類型的數(shù)據(jù)庫���,并支持管理某些云數(shù)據(jù)庫����。3��、安全工具: Kali-linux、Metasploit(漏洞監(jiān)測工具)���、Burp Suite(網(wǎng)絡(luò)漏洞掃描器)��、Awvs�����、Sqlmap��、Nmap(端口掃描器)�、Cobaltstrike����、Nessus、Xary��、 Wireshark(手動分析包工具)�、John The Ripper(密碼破解)����、蟻劍、冰蝎����、哥斯拉等�����。4�、安全技能:熟悉 OWASP TOP10 相關(guān)漏洞原理�、利用方法及防范措施。OWASP:開放式Web應(yīng)用程序安全項目(Open Web Application Security Project)����,OWASP是一家國際性組織機構(gòu),并且是一個開放的����、非盈利組織,它致力于協(xié)助政府�����、企業(yè)開發(fā)�����、升級各類應(yīng)用程序以保證其可信任性。所有OWASP的工具��、文檔��、研討以及所有分會都對任何就應(yīng)用安全領(lǐng)域感興趣的人士自由開放�。5、熟悉 PTES 滲透測試流程并輸出報告���。第一階段:前期交互第二階段:信息收集分析第三階段:威脅建模第四階段:漏洞分析第五階段:滲透攻擊第六階段:后滲透測試第七階段:滲透測試報告6�、熟悉內(nèi)網(wǎng)滲透思路及免殺方法�。常用的內(nèi)網(wǎng)滲透方法:(1)端口轉(zhuǎn)發(fā)因為目標(biāo)處于內(nèi)網(wǎng),通常外網(wǎng)無法訪問導(dǎo)致滲透存在一定難度����,這時就需要一些端口轉(zhuǎn)發(fā)工具和反彈代理等操作。Windows工具:端口轉(zhuǎn)發(fā)工具���;端口轉(zhuǎn)發(fā)工具��;ReDuh端口轉(zhuǎn)發(fā)���;Linux工具:、Puttp+ssh Socks代理���;Msf�����。(2)HASH值抓取工具:Pwdump7���;Gsecdump;WCE����;Getpass(基于mimikatz)工具逆向獲取銘文密碼。(3)密碼記錄工具:WinlogonHack——劫取遠(yuǎn)程3389登錄密碼��;NTPass——獲取管理員口令�����;鍵盤記錄專家�����;Linux下的openssh后門����;Linux鍵盤記錄sh2log。(4)漏洞掃描Nmap——可以對操作系統(tǒng)進(jìn)行掃描,對網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行評估Metasploit——強大的內(nèi)網(wǎng)滲透工具HScan——掃描常見漏洞(5)第三方服務(wù)攻擊1433——SQL server服務(wù)攻擊3306——Mysql服務(wù)攻擊其他第三方服務(wù)漏洞(6)ARP和DNS欺騙利用內(nèi)網(wǎng)嗅探工具抓取網(wǎng)絡(luò)信息繼而發(fā)起攻擊CAIN——網(wǎng)絡(luò)嗅探工具7���、熟悉 TCP/IP 模型及常見網(wǎng)絡(luò)協(xié)議����。(1)OSI的七層協(xié)議:從上到下:應(yīng)用層��、表示層��、會話層����、傳輸層、網(wǎng)絡(luò)層�、數(shù)據(jù)鏈路層、物理層�。(2)TCP/IP四層協(xié)議:從上到下:應(yīng)用層,傳輸層���、網(wǎng)絡(luò)層����、數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)接口層。(3)五層協(xié)議:從上到下:應(yīng)用層�����、傳輸層���、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層����、物理層。8�、熟悉 windows、linux 系統(tǒng)基線檢查與應(yīng)急響應(yīng)�。9、了解代碼審計流程及工具使用�����。(1)配置審計分析環(huán)境(2)熟悉業(yè)務(wù)流程(3)分析程序架構(gòu)(4)工具自動化分析(5)人工審計結(jié)果(6)整理審計報告
豪門小慧子
