学习网络安全攻击的最佳资源？

Question

有谁能为那些编程经验有限的人提供好的资源来了解网站的漏洞和攻击呢？

Answer 1

OWASP有几个非常有趣的资源：

• 哈克梅银行：一个带有一些漏洞的银行应用程序，供您查找并尝试利用
• WebGoat项目：带有几个漏洞的web应用程序。每一次可能的攻击都会在一个特定的课程中解释，这样你就可以专注于一种技术了。

Answer 2

我建议您从开发涉及数据库的动态网站开始，使用HTML/CSS、客户端编程语言(如JavaScript)和动态语言(PHP是一种流行的选择)。要充分了解web安全攻击，首先需要熟悉客户机/服务器体系结构，以及动态语言与数据库交互检索/插入/修改数据的方式。

一旦您掌握了动态web开发的基本知识，就可以开始学习有关攻击的知识。OWASP指南项目是一个很好的资源，对于有经验的网络渗透测试人员和新手来说也是一个参考。对于动手培训，只有搜索易受攻击的应用程序和你会发现许多故意脆弱的应用程序，安全和合法的实践反对。DVWA是一个很好的起点。

下一步是学习工具。我建议您在完全了解不同的攻击(XSS、SQLi、CSRF、RFI/LFI、XST等)以及如何手动执行它们之前不要使用这些攻击。对于在评估web应用程序时使用的开放源码工具的简明列表，您可以使用查查我以前的答案。

Answer 3

Sans有一个网络渗透测试和道德黑客:捕获您可能对https://www.sans.org/security-training/web-penetration-testing-ethical-hacking-capture-flag-day-6-13632-cid感兴趣的国旗类

有一些捕获标志站点，您可以从使用这些标记站点中学习。

• http://hax.tor.hu/
• https://pwn0.com/
• http://www.smashthestack.org/
• http://www.hellboundhackers.org/
• http://www.overthewire.org/wargames/
• http://counterhack.net/Counter_Hack/Challenges.html
• http://www.hackthissite.org/

一个更大的列表可以在http://captf.com/practice-ctf/找到