首先我们要知道安全测试主要测试哪些内容?1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)专、网属络端口管理等,这个是基础。2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。4、WEBServer周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
因此转行安全测试入门,零基础安全测试培训一般会学这些内容:1.HTTP协议基本概念(1)介绍HTTP标示URL(2)HTTP响应状态码(3)HTTP协议传输内容(4)HTTP协议请求传输过程(三次握手,四次挥手等)2.WEB应用认证基本概念(1)HTTP常见认证机制(2)BASE64编码介绍3.B/S架构常见安全问题(1)拒绝服务攻击基础(2)Smurf攻击模型(3)Fraggle攻击模型(4)SynFlooding攻击模型(5)碎片攻击(6)碎片攻击(7)碎片攻击4.嗅探理论基础(1)网络嗅探原理(2)密码嗅探介绍(3)协议分析基础介绍第二章:B/S架构体系安全渗透测试攻击基础1.B/S架构结构端口扫描分析(1)SuperScan工具(2)Nmap端口扫描工具(3)其他扫描工具(OWASPZAP等),可以查看百度常见端口扫描工具(具体根据公司项目实用性使用)2.输入验证攻击基础知识(1)输入验证攻击基本概念(2)Unicode漏洞介绍(3)输入验证二次解码漏洞介绍3.ASP脚本注入基础知识(1)ASP脚本注入基本概念(2)ASP脚本注入检测(3)ASP脚本注入信息获取(4)AASP脚本注入提权4.PHP脚本注入基础知识(1)PHP脚本注入基本概念(2)PHP脚本注入检测(3)PHP脚本注入信息获取(4)PHP脚本注入提权5.跨站脚本原理及防御(1)跨站脚本基本概念(2)跨站脚本实例(3)跨站脚本解决方法6、Web权限提升分析(1)Web权限提升基本概念(2)WeBShell上传方法(3)Web权限提升7大方法:密码破解、本地提权、Gina木马…7.APR嗅探基础(1)APR协议概念(2)APR欺骗攻击(3)交换域网络嗅探第三章:B/S架构体系安全渗透测试攻击与测试工具1、攻击工具介绍(ZAP模拟攻击,网络攻防,sqlmap等)(1)注入攻击工具原理(2)注入攻击工具分析(3)攻击测试平台搭建2.注入攻击工具使用练习(SQL注入等)(1)注入攻击工具使用(2)域名检查攻击工具使用及域名信息查询用3.拒绝服务攻击工具使用练习(1)SynFlooding攻击工具测试(2)UDPflood攻击工具测试(3)畸形DDOS攻击工具4.嗅探攻击工具使用练习(1)ARP欺骗攻击工具密码嗅探练习(2)嗅探协议分析练习5.B/S安全评估工具使用练习(1)Web脚本评估工具安装(2)B/S架构扫描(3)评估报告分析撰写模版6.常见网络安全问题了解(1)跨站脚本(Cross-sitescripting,通常简称为XSS)(2)跨站请求伪造(英语:Cross-siterequestforgery)(3)SQL注入7.中间键学习(1)中间键原理(2)中间键的使用和配置8.常用linux学习