1、編程語言: Python���,PHP��,web前端三件套(HTML/CSS/JavaScript 基礎)��,Mysql��。作為一種高級編程語言�����,Python越來越受到網(wǎng)絡專家的歡迎���。它之所以吸引人����,主要是因為它代碼的可讀性��、語法清晰和簡單�,以及大量庫的可用性。PHP是用于開發(fā)網(wǎng)站的服務器端編程語言���。由于大多數(shù)網(wǎng)站都是使用PHP創(chuàng)建的�,因此學習該語言可以讓你了解如何抵御入侵者���。SQL(結構化查詢語言)主要用于管理存儲在數(shù)據(jù)庫中的數(shù)據(jù)�。由于當前數(shù)據(jù)存儲系統(tǒng)的爆炸式增長,SQL被廣泛用于維護和檢索數(shù)據(jù)����。同樣�����,黑客越來越多地編排語言來破壞或泄露存儲的數(shù)據(jù)����。例如,SQL注入攻擊涉及利用SQL漏洞來竊取或修改數(shù)據(jù)庫中保存的數(shù)據(jù)����。因此,充分了解SQL語言對于網(wǎng)絡安全至關重要�。2、開發(fā)工具: Phpstrom����、Pycharm、Navicat 等���。PhpStorm 是 JetBrains 公司開發(fā)的一款商業(yè)的PHP集成開發(fā)工具���,旨在提高用戶效率�����,可深刻理解用戶的編碼�����,提供智能代碼補全����,快速導航以及即時錯誤檢查�����。PyCharm是一種Python IDE(Integrated Development Environment��,集成開發(fā)環(huán)境)�,帶有一整套可以幫助用戶在使用Python語言開發(fā)時提高其效率的工具,比如調(diào)試����、語法高亮、項目管理、代碼跳轉�、智能提示、自動完成����、單元測試、版本控制�����?�!癗avicat”是一套可創(chuàng)建多個連接的數(shù)據(jù)庫管理工具����,用以方便管理 MySQL�����、Oracle�、PostgreSQL、SQLite��、SQL Server�、MariaDB 和/或 MongoDB 等不同類型的數(shù)據(jù)庫,并支持管理某些云數(shù)據(jù)庫。3�、安全工具: Kali-linux、Metasploit(漏洞監(jiān)測工具)����、Burp Suite(網(wǎng)絡漏洞掃描器)、Awvs����、Sqlmap、Nmap(端口掃描器)��、Cobaltstrike����、Nessus、Xary���、 Wireshark(手動分析包工具)�����、John The Ripper(密碼破解)���、蟻劍���、冰蝎、哥斯拉等�。4、安全技能:熟悉 OWASP TOP10 相關漏洞原理����、利用方法及防范措施。OWASP:開放式Web應用程序安全項目(Open Web Application Security Project)�����,OWASP是一家國際性組織機構����,并且是一個開放的����、非盈利組織,它致力于協(xié)助政府�����、企業(yè)開發(fā)����、升級各類應用程序以保證其可信任性�����。所有OWASP的工具�、文檔�、研討以及所有分會都對任何就應用安全領域感興趣的人士自由開放。5�����、熟悉 PTES 滲透測試流程并輸出報告��。第一階段:前期交互第二階段:信息收集分析第三階段:威脅建模第四階段:漏洞分析第五階段:滲透攻擊第六階段:后滲透測試第七階段:滲透測試報告6��、熟悉內(nèi)網(wǎng)滲透思路及免殺方法�。常用的內(nèi)網(wǎng)滲透方法:(1)端口轉發(fā)因為目標處于內(nèi)網(wǎng),通常外網(wǎng)無法訪問導致滲透存在一定難度���,這時就需要一些端口轉發(fā)工具和反彈代理等操作����。Windows工具:端口轉發(fā)工具�;端口轉發(fā)工具�;ReDuh端口轉發(fā)����;Linux工具:、Puttp+ssh Socks代理����;Msf。(2)HASH值抓取工具:Pwdump7�����;Gsecdump����;WCE;Getpass(基于mimikatz)工具逆向獲取銘文密碼����。(3)密碼記錄工具:WinlogonHack——劫取遠程3389登錄密碼��;NTPass——獲取管理員口令��;鍵盤記錄專家���;Linux下的openssh后門����;Linux鍵盤記錄sh2log。(4)漏洞掃描Nmap——可以對操作系統(tǒng)進行掃描�,對網(wǎng)絡系統(tǒng)安全進行評估Metasploit——強大的內(nèi)網(wǎng)滲透工具HScan——掃描常見漏洞(5)第三方服務攻擊1433——SQL server服務攻擊3306——Mysql服務攻擊其他第三方服務漏洞(6)ARP和DNS欺騙利用內(nèi)網(wǎng)嗅探工具抓取網(wǎng)絡信息繼而發(fā)起攻擊CAIN——網(wǎng)絡嗅探工具7、熟悉 TCP/IP 模型及常見網(wǎng)絡協(xié)議����。(1)OSI的七層協(xié)議:從上到下:應用層、表示層�����、會話層����、傳輸層、網(wǎng)絡層��、數(shù)據(jù)鏈路層����、物理層。(2)TCP/IP四層協(xié)議:從上到下:應用層��,傳輸層、網(wǎng)絡層�、數(shù)據(jù)鏈路層、網(wǎng)絡接口層��。(3)五層協(xié)議:從上到下:應用層�����、傳輸層�����、網(wǎng)絡層����、數(shù)據(jù)鏈路層、物理層�����。8��、熟悉 windows���、linux 系統(tǒng)基線檢查與應急響應����。9�����、了解代碼審計流程及工具使用����。(1)配置審計分析環(huán)境(2)熟悉業(yè)務流程(3)分析程序架構(4)工具自動化分析(5)人工審計結果(6)整理審計報告
