1、熟悉渗透测试流程,从信息收集开始做起。可以使用工具,但是不要完全依赖工具,以信息收集为例,可以使用挖掘机、subdomain等成熟工具,但是也要熟悉google语法,手动的取收集。同时也可以自己编写一些py脚本,增强自己的了解
2、搭建靶场测试环境,在靶场中了解owsap top 10的漏洞和原理
3、实战、一定要实战。刚开始无从下手的话,可以先信息收集完,放到扫描器里跑一下,看看有没有自己熟悉的漏洞,哈哈。实战是检验水平的唯一标准
4、SRC、众测搞起来,提升能力不说,还能交往一波铁子们,做的好的化还有一定的收入、礼品哦
1.信息收集,挖洞一般挖子站和C段,会利用各大搜索引擎,FOFA好用一些
2.熟悉各种漏洞的利用方法
3.黑盒比白盒难,所以前期可以黑盒挖洞,后期就得白盒审计了,PHP和JAVA
4.python批量写POC
建议先学PHP基本语法,打好编程基础,可以尝试着自己写一些demo,然后多看看别的大佬写的漏洞分析文章,好的文章分析都比较全面,来自同样一个新手的叨叨,说错勿喷~
我认为最重要的是先提升技术,如果什么都不懂就开始挖的话,就会寸步难行,多看点培训的视频,现在网上都有很多技术视频可以学习,慢慢来,总有一天会变强的
先学习网络 知识,然后学习Web漏洞的原理和点,然后可以尝试学习代码知识现在很多靶场然后就可以在靶场里面实践,慢慢的循环渐进
信息收集开始吧,如果你已经会 各大漏洞的原理,有了基础,可以适当的专研一下信息收集,如果你没有基础,原理还不是很熟悉,就应该学习原理,打靶场进行巩固,加深对原理的印象,这样是最好的,其次的代码能力是你后面的事情了,学无止境。
初学者建议先看视频和看书,并且有空就去各大论坛去看些文章,学点新方法,扩展攻击面,之后搭建靶场练习,比如owasp,pikachu等,熟悉使用sqlmap等工具,再开始学习编程,如果学不会,那大概也要了解,起码得看得懂,之后可以先去试试edu,渐渐的熟悉挖洞技巧
