什么是WEB渗透工程师?是干嘛的?
主要是做:
1、负责渗透测试技术服务实施,编写渗透测试报告;
2、负责渗透测试技术交流、培训;
3、负责代码审计、漏洞检测与验证、漏洞挖掘;
4、负责最新渗透测试技术学习、研究。应聘这样的职位有一定的职业要求:1、熟悉交换路由等网络协议、熟悉ACL、NAT等技术、熟悉网络产品配置和工作原理;熟悉LINUX、AIX等操作系统安全配置;熟悉ORACLE、MSSQL、MYSQL等数据库安全配置;熟悉WEB、FTP、邮件等应用安全配置;2、能熟练使用各类渗透测试工具,熟悉手工注入、上传、中间人攻击测试、业务逻辑漏洞测试;3、熟悉HTML、XML、ASP、PHP、JSP等脚本语言,会使用C/C++、JAVA、.net、PYTHON等进行程序开发;4、熟悉木马、后门技术、SHELLCODE技术、免杀技术、密码破解技术、漏洞挖掘技术、远程控制技术等。
想要学黑客技术,看什么书好?
首先黑客,指的是IT行业内的技术人才,只是一直被大众误解。黑客也有分类,国际分类是,白帽,灰帽,黑帽(这才是大众认知的黑客)。
最常见最实用的书籍就是《Web安全深度剖析》、《漏洞战争:软件漏洞分析精要》、《加密与解密》、《白帽子讲Web安全》、《精通脚本黑客》等。具体相关的书籍也是很多的,搜关键词网上有一大堆,但并不是每一本都有用,有的写很浅显,有的又很高深,找一本你自己觉得合适的就行。
还有要掌握的知识很多,基础理论,硬件知识,英语(至少能看懂国际上的安全新闻或者资讯),网络技术基础,网络信息安全,编程 (C,JAVA,python,js,php等等),数据库语言(oracle,sql server,mysql),数据分析和处理,漏洞挖掘和分析,渗透测试,社会工程学,软件免杀和破解(略带有灰色色彩),黑客条约(最重要的)等等。有了这些作为知识储备,你已经算是IT圈的大佬了,找工作基本没问题,但是你只是有资格成为黑客,并不是已经是黑客。相关的教程也很多(网上一查就有)。上面说的每一项知识如果你学会了都可以单独拿出来独当一面的。
平时没事多逛逛网络安全相关的论坛或者网站从最基础的学起,遵守黑客条约,合法做事(这一点很重要,网络安全现在各国都很看重,别想着犯事,一失足就完了),得到黑客圈的承认,你才算是黑客
成为黑客必须得永无止境的学习,出现一项新的技术你就得掌握,国际上有新的信息安全资讯你得立马了解,哪些还可用,哪些过时等等,要想成为黑客,不是那么简单的,多了解,多学习,不要急于求成,慢慢来。
有2种
一种是脚本BOY,用各种现成工具去试,试到行为止
第二种真大神,自己写工具。
当然,都是从脚本BOY开始的
但是,如果你是0基础。先别想着做黑客了,先把你电脑的cmd命令,先进一点powershell弄弄清楚再说吧。
想学编程,想当黑客,学什么语言比较好?
黑客的话不建议你学,因为要学的东西名字就能写个一千字的作文,你说的黑客是指入侵,入侵包括web和端口,先把要学的语言列一下,html,css,JavaScript,Java,PHP,Python,SQL,nosql,汇编,C语言这些就差不多了,然后要学习各种网络协议,比如http,HTTPS,ftp,smtp,ssh,Telnet,smb,rdp,WiFi,outh,等等吧,然后你要了解各种漏洞形成的原理比如SQL注入,xss,文件上传,CSRF,跨域请求,命令执行,文件包含,目录遍历,缓冲区溢出,整型溢出等等,还有就是你要理解CS和BS架构,比如用户client请求一个URL,经过TCP上的DNS,解析到目标服务器的负载均衡,再解析到中间件,服务器等等一堆名词,另外你要了解waf和防火墙的原理和使用,入侵检测系统原理和使用,木马病毒的原理和手工排查方式,另外呢你还要了解各种各样工具尤其是命令行工具的使用,比如nmap,sqlmap,burp,wvs,御剑,大马小马,wireshark,tcpdump,kali你要熟悉,另外你要熟悉Linux常见命令和工具,就啊要很熟练Linux系统,然后咱们说二进制的漏洞技术,包括漏洞挖掘技术和漏洞分析,漏挖主要靠模糊测试,你要了解个钟模糊测试软件和测试的原理,挖到漏洞你要会调试,绕过系统的内存保护机制,比如加载地址随机化,栈cookie,SEH,安全SEH,数据执行保护等等,你要了解他们的原理和绕过方法,脱壳的方法,学会逆向调试,然后你要了解编程语言在内存中编译成了什么样,才能利用Python写个脚本利用成功!最后呢渗透还要了解域渗透,内网横向移动,隧道封装技术,木马免杀等等,哦忘记说了,你还要了解主流的网站系统比如WordPress,discuz,织梦,帝国,thinkPHP,spring等等,服务器的话你要会配置Apache,NGINX,Tomcat之类的,如果你能熟练应用我上面说的技术,那你就不是脚本小子了,算是一名黑客了!加油