参考书籍:
2、白帽子讲Web安全
参考网站:
1、魔鬼训练营笔记
http://www.cnblogs.com/justforfun12/p/5209502.html
2、国内攻防赛事
https://www.xctf.org.cn/calendar/
3、zhihu
搜索“攻防”,可以看到比较不错的帖子。
CTF相关
1、https://toutiao.io/posts/viuktt/preview
2、http://blog.csdn.net/scnu_jiechao/article/details/44241597 抓包工具
3、http://dholz.logdown.com/posts/294650 在线CTF练习平台
4、http://redtiger.labs.overthewire.org/ sql通关
http://blog.spoock.com/2016/07/25/redtiger-writeup/
5、https://www.zhihu.com/question/30505597 CTF训练资源
6、https://github.com/WangYihang 有一些在建项目,ctf在线网站
7、http://www.simpleedu.com.cn/details/287
以下为上述连接内容转载
Sqli-labs下载
Sqli-labs是一个印度程序员写的,用来学习sql注入的一个游戏教程。博客地址为:
http://dummy2dummies.blogspot.hk/,博客当中有一些示例,国内很多博客内容都是从该作者的博客翻译过来的。同时该作者也发了一套相关的视频,在youtube上可以查看。ps:印度人讲英语口音太重了。。。。凑合着听懂点。
此处考虑到有些朋友不会FQ,遂分享到国内地址。
http://pan.baidu.com/s/1dFggvVN
Ps:不想看视频的可以直接忽略视频,口音实在脑门疼,此处本来想自己录视频的,但现在来看,时间比较有限
Sqli-labs项目地址---Github获取:https://github.com/Audi-1/sqli-labs
(考虑到安全性问题,就不搬运这个了)
8、wangyihang http://www.jianshu.com/p/9ab28ef72b0b web前端 android反汇编工具
9、sqlmap 注入教程 http://www.cnblogs.com/ichunqiu/p/5805108.html 含登录界面命令★
10、writeup
iscc 2016 https://lazymind.me/2016/05/iscc-2016-ctf-writeup/#more
iscc 2017 http://bbs.ctlers.com/t/42.html 必应缓存页面
http://m.blog.csdn.net/article/details?id=72724980
工具网站:
1、http://www.atool.org/httptest.php 接口调试
2、http://tool.chinaz.com/Tools/MD5.aspx
3、http://www.bejson.com/convert/ox2str/
字符串转换16进制 例如users转换为0x7573657273
复习心得:
1、基础的东西要搞明白。
例如有一道题目是测试sql注入的,flag藏在了密码注入失败的提示里,结果自己仅测试了admin不存在注入漏洞,就注入密码输入框,注入成功了。没有看到flag,又把提示的画面琢磨了半天。最后还是退回来才发现的flag。
2、保持一颗敬畏的心。天外有天。
3、保持一颗去创造的心。(余弦)
4、知道创宇的技能表,要仔细对照着看看了。
5、不要只想,要去做,要去工程化你的想法。