網絡攻防WEB入門指南（大佬繞路）

文章目錄

• 前言
• 學習網絡攻防該如何入門

---

前言

我對網絡攻防的理解，分為比賽和實戰兩個部分，兩者所學習的知識雖有共通之處，但還是有很大區別，我也在向實戰的狀態轉換，不過二者入門所要掌握的知識差別不大。下面主要從網絡攻防競賽角度，也就是知名的CTF奪旗賽，來談談網絡攻防知識如何入門。

學習網絡攻防該如何入門

常規CTF比賽主要分為線上做題，以及線下AWD攻防（Attack With Defence），其中初賽往往為做題形式，決賽為AWD混戰。做題形式又分為MISC（雜項）、PWN、WEB、REVERSE（逆向）、CRYPTO（密碼），AWD混戰以WEB為主，部分會有PWN，做題和AWD形式中的WEB都萬變不離其宗，主要攻擊手段有SQL注入、XSS、SSRF、文件包含、文件上傳和一些已披露漏洞等，比賽中的漏洞又是故意暴露出來的，故比較好看出來，只要熟悉以上漏洞形式，即可上傳SHELL拿FLAG。
其中主方向有WEB、逆向、PWN三個，一般一個人只能選一個方向主要學習，因為所涉及的知識不同，也沒聽說過能全精的。MISC和密碼帶著學一些，新手沒思路的話一般推薦從web入手，web入門簡單，除非對二進制特別感興趣或代碼能力極強。
一定要精通至少一門編程語言！！！不管選擇學什么方面，編程語言都相當重要，CTF中不要想做腳本小子（純只會用工具），能用工具解決的都是簡單題，每個方面學到中等以后都會要求編程能力，web方面發包調試、sql注入等；雜項和密碼編寫解密腳本；逆向腳本動態調試、解密；PWN更不用說了，沒有題是不需要寫腳本的。這里推薦python3，這是目前較容易上手且非常流行的語言。

我主學web方面，談談web如何入門：
想學web，首先基礎知識得了解，現代網絡技術課程的內容都要掌握，什么是流量包，http協議等等基礎的概念要比較清楚，這個網上很多教程，學校大二也會開設這門課。
如果很早開始學習web，時間很多的話，可以自己摸索著搭建一個網站，對web的理解會有很大提升（這里說的搭建不是指用phpstudy一類自動化建站工具，而是包括自己寫php源碼，連接數據庫上傳等）。租一個阿里云學生服務器，便宜且好用，不僅可以搭建自己的網站，有些題目包括比賽，都會用到（如反彈別的網站shell到自己服務器）

前期不太會編程的前提下，多用用經典常見工具，先從腳本小子做起。最常見的工具如burpsuite、wireshark、AWVS、nmap、sqlmap、御劍系列掃描工具等等。這個可以下一個i春秋或吾愛破解的工具包，或者懸劍武器庫（號稱中國版kali的系統），里面都是集成工具的，一個個工具熟悉。

練習環境推薦自己利用phpstudy搭建經典的DVWA測試環境，各種漏洞類型都有，還能調整難度，實在不會搭建，buuctf網站上也有現成可以打開的容器環境。

入門推薦書籍：
《白帽子講web安全》
《web前端黑客技術揭秘》
《python絕技：利用python成為頂級黑客》
《kali linux 高級滲透測試》
《從0到1 CTFer成長之路》

（其實不用挑，市面上有關web安全的書都可以看，主要只要肯看肯學，什么書都差不多的，要將知識轉換為技術，而不是在乎學到了多少內容）

推薦幾個不錯的微信公眾號：程序員知識星球、川云安全團隊、Gamma實驗室、黑白之道、紅客、家國安全、Khan安全團隊、滲透云筆記、懸劍武器庫

不管學什么，學主要知識的同時，多接觸kali linux，黑客都在用的操作系統，功能太強大，不詳細介紹（kali用的好，牢飯吃到老）。教程很多很好搜，不推薦具體的，建議安裝最新的版本，新版比舊版集成工具命令更多。

要求能力：php至少完全能看懂，包括不常用的函數功能要清楚，最好會寫，可以自己搭建網站練習
python會根據功能自己編寫腳本
linux常見指令會用
mysql基本語句會用
部分教程鏈接（僅供參考，可以自己找更好的）
https://www.runoob.com/php/php-variables.html （php）
https://www.liaoxuefeng.com/wiki/1016959663602400 （python3）
https://www.runoob.com/mysql/mysql-tutorial.html （mysql）

最后多練才是王道，多參加比賽，線上賽很多，都可以自己了解報名
做題網站：
https://adworld.xctf.org.cn/
https://buuoj.cn/
https://www.bugku.com/
https://ctf.pediy.com/

https://ctf.bugku.com/awd/index.html
有時間可以在這個平臺上注冊一下，自己組隊參加一下定期舉行的AWD形式比賽，很少有平臺舉行AWD的比賽，CTF決賽都是AWD形式，尤其藍帽杯之前的初賽決賽都是AWD形式，這種實操的模式更貼近實戰，可以練習熟悉一下。

https://zhongce.360.cn/sign-in
自我感覺web學得不錯，不知道入沒入門的話，我推薦這個360的眾測平臺的考核，這個平臺是用來挖真實網站漏洞提交來獲取賞金的平臺，但要想取得平臺入駐資格必須通過他們內部組織的考試，我之前考了一下，比較容易，基本是CTF中WEB入門題。如果能通過考核，web差不多可以算入門了。

總結

以上是生活随笔為你收集整理的网络攻防WEB入门指南的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。