web方向渗透测试入门框架

0x01 前言

从2020年总结的知识体系框架,一直在放着吃灰。最近才翻出来想着贴出来这个入门级的渗透测试思维导图。
这个思维导图记录的不是很详细,但有体系化和结构化,记录了从信息收集、到web层次的各种漏洞分析,有些知识点没有填充,你们可以自己尝试填充。

0x02 信息收集

信息收集的重要性不言而喻,有一句话一针见血的表达出了渗透测试的本质:渗透的本质就是信息收集。
信息收集贯穿整个渗透测试流程,无论是否在对目标进行测试都是一边对收集得到的信息进行分析整合,一边调整自己的渗透测试重点和方向。如果信息收集的比较全面则对于我们接下来的渗透测试来说,达到事半功倍的效果。

0x03 web漏洞

关于web方向的漏洞,我这边总结了 OWASP TOP10 && 还增加了一些常规漏洞及其原理和利用方法。

sql注入
文件包含
文件上传
xss
xxe
ssrf
csrf
命令执行
逻辑漏洞

0x04 下载

文件下载:
1、信息收集
2、web漏洞

Typecho赞赏功能

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

冷夜清风

(๑>ڡ<)☆谢谢老板们的投食~

使用微信扫描二维码完成支付


  Previous post 红队角度下的Linux信息收集
Next post   已到最新一篇

添加新评论

选择表情

  TimeLine

随手分享一些知识框架...
--- updated on 2021-07-16 16:47:39 星期五

  About Me

我就是随便写写,您随便看看。
有事说事,没事烧纸,闲人勿扰,谢谢。
工作:攻防。
Tips:
1、组织:灼剑(Tsojan)安全团队。
2、问题,请直接使用真实邮箱地址回复,不然你收不到信息。

  Recent Comments

  •  Darren: 已解决
  •  Darren: 按照步骤来的,唯一的区别就是PATH变量里面多了两行,一行是D:\wim.rar\,一行是%U...
  •  Liu先生的故事小屋: 加油哦,一起努力!
  •  达布尔·道格: 在jdk16种怎么弄呢,里面的路径跟博主的不一样
  •  林: 可以加个好友吗,以后有问题想请教下,现在还是个小菜鸟
  •  君君: 点击run没反应,为什么
  •  jrdh: 请问大佬,配置环境变量的时候,文件位置在哪里?怎么找
  •  MJXT: 或者说点了没反应
  •  MJXT: 我已经安装好了可以使用,但是没办法打开汉化的那个bat文件,打开就闪退
  •  方大落: 成功安装,这是我在全网看到的最完全的安装教程,给博主点赞!

成功源于不懈的努力。

暗自伤心,不如立即行动。

再多一点努力,就多一点成功。

得意淡然,失意坦然;喜而不狂,忧而不伤。

海纳百川,有容乃大;壁立千仞,无欲则刚。