Skip to content

Qing-Q/Learn-Web-Hacking

 
 

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

Web安全学习笔记

在学习Web安全的过程中,深切地感受到相关的知识浩如烟海,而且很大一部分知识都是比较零散的,没有比较清晰的脉络可供参考和学习,于是尝试把一些知识、想法整理总结记录下来,最后形成了这份笔记,希望能够为正在入门的网络安全爱好者提供一定的帮助。

笔记内容分为四个部分。第一部分围绕Web相关的基础知识做了一定的说明,这是进行安全学习的基础。第二部分按照常见的渗透测试的顺序,对信息收集、常见的Web漏洞、常见语言与框架、内网渗透的技巧等进行了说明。第三部分回到防御的视角,就安全团队的建设、威胁情报与风控等较大的视角以及蜜罐、溯源等较为细节的内容作了说明。最后一部分是认证机制、工具与资源还有一些相对不好分类的内容。

所学浅薄、精力有限,因此这份笔记有一些错误或是还没完成的部分,正在逐渐补充或修正。如果存在错误欢迎各位读者以Issue或者PR的方式批评指正。

在编写笔记的过程中参考、摘抄了很多资料,都在文末留下了相应的链接,十分感谢文章作者的分享。笔记的在线版本可以点击这里查看。

笔记大纲

  1. 基础知识
    • Web技术演化
    • 计算机网络
    • 域名系统
    • HTTP标准
    • 代码审计
    • WAF
  2. 信息收集
    • 域名信息
    • 站点信息
    • 端口信息
  3. 常见漏洞
    • SQL注入
    • XSS
    • CSRF
    • SSRF
    • 命令注入
    • 文件读取
    • 文件上传
    • 文件包含
    • XXE
    • 模版注入
    • Xpath注入
    • 逻辑漏洞 / 业务漏洞
    • 配置安全
    • 中间件
    • Web Cache欺骗攻击
  4. 语言与框架
    • PHP
    • Python
    • Java
    • JavaScript
    • Ruby
  5. 内网渗透
    • Windows信息收集
    • Windows持久化
    • Linux信息收集
    • 痕迹清理
  6. 防御技术
    • 总体思路
    • 团队建设
    • 威胁情报
    • 风险控制
    • 加固检查
    • 蜜罐技术
    • 入侵检测
    • 应急响应
    • 溯源分析
  7. 认证机制
    • OAuth
    • JWT
    • Kerberos
    • SAML
  8. 工具与资源
    • 工具列表
    • 推荐资源
    • 爆破工具
    • 下载工具
    • 流量相关
    • 嗅探工具
    • SQLMap
  9. 其他
    • Unicode
    • 拒绝服务攻击
    • Docker

本地编译

git clone https://github.com/LyleMi/Learn-Web-Hacking.git
cd Learn-Web-Hacking
pip install sphinx sphinx-rtd-theme
make html

Contribution

如果有任何的问题、意见或者建议欢迎以Issue或PR的形式提出,不胜感激。

感谢所有的贡献者

License

项目以CC0 1.0许可证发布,可以点击这里浏览全文。

该笔记仅供学习和交流使用,请读者遵守《中华人民共和国网络安全法》,勿进行非授权的测试。

About

Study Notes For Web Hacking / Web安全学习笔记

Resources

License

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published

Languages

  • Python 76.8%
  • Batchfile 13.0%
  • Makefile 10.2%