可以先去学一下OWASP Top 10攻击以及BurpSuite、SqlMap、awvs、nessue、dirsearch、nmap等工具
以下是一些建议:
学习基础知识:在开始挖掘之前,需要了解二进制、操作系统、计算机网络等方面的基础知识。可以先学习相关课程或书籍,并通过实践加深理解。
学习常见漏洞类型:常见的漏洞类型包括缓冲区溢出、格式化字符串漏洞、SQL 注入、XSS 等。需要学会如何检测和利用这些漏洞。
掌握编程技能:使用编程语言进行漏洞挖掘和开发自己的攻击工具,需要掌握相关的编程技能。
学习漏洞利用工具:有许多流行的漏洞利用工具,如 Metasploit、Nmap 等,可以学习其使用方法以提高效率。
参加 CTF 比赛:CTF 是一个非常好的平台,可以训练和测试你的漏洞挖掘技能。推荐参加 Pwnable、Web 安全等题目。
阅读其他人的研究:阅读其他网络安全研究人员的文章和博客,以获取更多关于漏洞挖掘和攻击技术的知识。
总体来说,漏洞挖掘需要不断实践和练习,只有通过不断地尝试和错误纠正,才能真正提高自己的技能。希望这些建议可以帮助你入门漏洞挖掘。
1.基础掌握协议部分比如tcp/ip之类的
2.密码学基础(一些基础的密码学知识)
3.编程基础(学一下编程语言比如php,jsp,py等等)
4.系统基础(win和linux系统)
5.掌握owasp top 10的利用
6,.代码审计(php或者java的代码审计)
7.提权(win提权和linux提权)
8.隧道搭建(一些常见的隧道搭建方法还有一些内网穿透的工具使用)
9.横向渗透(掌握基本的横向渗透能力比如:工作组横移,域渗透等等)
10.权限维持(比如黄金白银票据之类的)
11.常见的痕迹清理方式
12.熟练的掌握cs,msf,bp,sqlmap等等工具的使用
13.学习exp和poc,渗透工具的编写(到这里就差不多算是学的差不多了)
个人对你说的话:学完了这些东西,也要去不断的去学习各种新技术。网络是不断的在变化的,一直会有新技术的出现。我们要不断的去探索,摸索才可以成为别人心中的大佬。
日后的学习可以去看看网络安全的书籍比如白帽子讲web安全,奇安信的红蓝对抗等等。去各大网安社区看看别人的文章或者分享自己的思路等等,可以去挖挖src去不断累积自己的经验。慢慢的累积你的技术一定会好起来。