学习伦理黑客

Question

我正在努力学习更多关于伦理黑客的知识，然而，我所读到的很多信息来源都有大量的文本/理论，很少有人参与工作。我想知道是否有人能为我指明方向，在那里我可以更多地了解XSS / SQL注入/等事情的实际方面。

对这类事情有什么确切的了解来源吗？

Answer 1

OWASP有很多关于xss、sql注入等方面的资源。

我建议您查看他们的WebGoat项目和测试项目。这些都是很好的资源，让你开始，而且是免费的。

WebGoat是一个故意维护不安全的J2EE web应用程序，它由OWASP维护，旨在教授web应用程序的安全性课程。在每一课中，用户必须通过利用WebGoat应用程序中的实际漏洞来演示他们对安全问题的理解。目前有30多个经验教训，包括处理下列问题的经验教训:跨站点脚本(XSS)、访问控制、线程安全、隐藏表单字段操作、参数操作、弱会话Cookies、盲SQL注入、数字SQL注入、字符串SQL注入、Web服务、失败的开放身份验证、HTML注释的危险、还有更多！https://www.owasp.org/index.php/OWASP_WebGoat_项目 -- OWASP测试指南--包括一个“最佳实践”渗透测试框架，用户可以在自己的组织中实现该框架，以及一个“低级”渗透测试指南，该指南描述了测试大多数常见web应用程序和web服务安全问题的技术。https://www.owasp.org/index.php/Category:OWASP_测试_项目

Answer 2

吃点奶酪！

谷歌有一个很好的资源就是为了这个目的。Gruyere是他们创建的一个帮助开发人员(和测试人员)解决安全漏洞的网站。该应用程序充满了安全漏洞，谷歌已经为你编写了挑战设置，让你打破这个网站。真是太棒了。每个挑战都被标记为一个样式(黑匣子，白框，介于两者之间)，代码可以在本地运行，它提供提示和解决方案。所以希望这正是你想要的！

http://google-gruyere.appspot.com/

Answer 3

如果你想学习黑客/破解/黑帽子之类的东西，谷歌是你的朋友，但如果你想了解有关这个主题的具体信息，有一些安全培训项目：

https://www.eccouncil.org/certification/certified_伦理性_hacker.aspx

似乎有许多程序，每个销售自己的手册。

如果这太多了，而且你的兴趣不那么正式，你可以看看“盗取网络:如何拥有___”系列文章。亚马逊上有其中许多人。它们的阅读和娱乐都比较轻松，但可能有点过时了。