小迪安全(0)
前言·
本来在想tags和categories怎么写:
【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili
时长:136h39min
想想还是写成WEB安全吧,毕竟范围更广一点
报的2000的培训班真是越想越亏,大韭菜,确实内容不及人家的1/5,人家的还更偏实战,还是应该入门时随大流,一般入门都是有免费口碑不错的,自己咬咬牙坚持下去就行
学习目的及选择原因·
- 学习WEB安全,渗透测试,希望实习,SRC挖洞,丰富经历
- 选择小迪的原因就是确实免费20年版的属他的口碑最好,通常被诟病的也是口音或有说讲的随性,不深的,但反之,CS尤其是网安的学习本就不是光靠听就能会的,不深,啧,可能这样学完快一点
- 跟其他付费的比,额,不想再充钱了,就这逼着自己看就行了;跟网上小迪22年相比,啧,虽然时间上确实差了两三年(感觉讲的入门的漏洞及工具、审计、提权、内网技术,不至于两三年就变化那么快),但是B站观看体验好+有自动生成字幕(第一集不难直接二倍速),而且也有笔记,B站评论区:https://www.yuque.com/weiker/xiaodi || 一个菜鸡的分享 - 哔哩哔哩 (bilibili.com)
第一讲:基础入门-概念名词·
域名和DNS·
IP不好记,域名可以映射到IP地址上
1.顶级域名:又叫一级域名,一串字符串中间一个点隔开,例如baidu.com。顶级域名是互联网DNS等级之中的最高级的域,它保存于DNS根域的名字空间中。 2.二级域名:实际上就是一个一级域名以下的主机名,一串字符串中间两个“.”隔开,例如www.baidu.com。二级域名就是最靠近顶级域名左侧的字段。
域名发现对于安全测试意义:进行渗透测试时,其主域名找不到漏洞时,就可以尝试去测试收集到的子域名,有可能测试子域名网站时会有意向不到的效果,然后可以由此横向到主网站。
域名解析 | A记录 ,CNAME,MX,NS 你懂了吗 - 知乎 (zhihu.com)
提到了,没看懂
域名系统(Domain Name System,DNS)
Hosts文件主要作用是定义IP地址和主机名的映射关系,是一个映射IP地址和主机名/域名的规定。
CDN的全称是Content DeliveryNetwork,即内容分发网络。
做博客的时候稍稍了解了一下,概念很简单
脚本语言&&后门·
一种介乎于 HTML 和诸如 JAVA 、 Visual Basic 、 C++ 等编程语言之间的一种特殊的语言。尽管它更接近后者,但它却不具有编程语言复杂、严谨的语法和规则,也因此而通常更不安全
作用:
- 不同的脚本语言的编写规则不一样,程序产生的漏洞自然也不一样(代码审计)。
- 漏洞挖掘代码审计:要熟悉相关代码和相关逻辑机制
后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。
免杀技术全称为反杀毒技术Anti-Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。
先只了解个概念吧,以后再遇到再查博客
WEB的组成框架模型·
网站原码、操作系统、中间件(搭建平台,提供服务的)、数据库。
作者分门别类地陈列了不少,感兴趣可以自己进去看
自己对于相关技术并不了解,就不摘录了
接下来讲述了:很多软件本质上还是网站加个壳子;当然安卓逆向等不会讲,但是若软件有和web同理的内容会加以陈述
最后,浅浅地实操展示了一下抓包、后门等内容
工具·
layer子域名探测
放了个工具,作用如题,但自己好像有,自己的付费课看到信息收集可能也是这
评价·
其实自己感觉真还行,2倍速也很舒服
这集的评价的话就是和学习目的及选择原因中类似,若下面的课程没啥好说的,就取消评价板块
真的记了蛮多的,奇妙,自己以为能力相对大一或大二刚开始没啥增长,但听课的时候明显没有那种非常吃力的感觉了,大多也都知道说的是什么,不了解+认为重要/感兴趣自己再动手查一下,蛮舒服的