学习网站漏洞挖掘为何这么难

           这个我可以总结一下经验,因为我其实在中学的时候很长一段时间里都在摸索所谓黑客技术,然后接触到了web渗透。从我第一个洞到现在为止,用一句话总结:渗透是一个信息收集的过程。为什么说信息收集的过程呢?因为你渗透不是先获取该网站更多信息从而达到下一步渗透?这人就是一个不断信息收集的过程,这个过程是持续的,从web端到服务器端再到system权限再到内网横向渗透再到持续化后渗透(这一点之后是没完的,因为会有很多因素,比如后门被管理员卸了啊,新装了个杀软啊什么杂七杂八的)都离不开信息收集,可能细讲很复杂,但是就是:渗透是一个信息收集的过程。我说几个新手容易踩坑的地方:你盯着个主站看,大家都盯着主站看。每天看技术文章,你真的有收获?(我偷偷和你说:他们会在技术文章上写的,都是骚操作,个例,你去找也找不到类似的站,那些思路是你中后期看的拜托)害怕别人叫自己脚本小子却又不研究编程开发(个人推荐py)找洞,善用工具,不是你单单看到的那些片面,比如sqlmap的--fresh-queries参数,你能第一时间反应过来吗?--level也很重要。......私聊细讲你在渗透的过程中遇到的坑点,我可以给你提出解决方案这里我顺带diao一些课程,什么玩意啊,每天讲的都从技术实现开始讲的话新手是学不明白的。比如讲sql注入,某些课程讲完大概原理就直接上靶场,然后讲一些深层的细节,拜托,真的很难理解。

outputo-20211208-101752-443-uwcu.png

学到了以上几点说明你只学会了渗透测试其中的一点,懂了漏洞原理,也没懂怎么挖懂的思路,也不知道怎么利用漏洞,首先挖洞最首要的收集信息这一步,信息收集全了,渗入就比较好做了。不过题主学几个月可能实战比较少,学的理论知识比较多。如果真的从事这行,渗透测试工作有困扰,还是建议继续学习一段时间,对你之后的渗透工作还是比较有利的。

分享: