信安之路培训课程


  • 简介
  • 目录大纲
  • 最新文档

    第一期 云安全技术

    云安全相关技术内容 https://wiki.teamssix.com/

    myh0st - 2024年10月17日 11:05


    2 区块链市场

    市场 何为币圈市场? 币圈分为两种大型市场,一级市场和二级市场,一级市场我们简单地说就是一个币没有上线前都是称之为一级市场,二级市场就是我们币在一级市场流程走完上线交易所后称之为二级市场,也可以理解为二级市场就是属于发行后,所有人都可以在交易买卖的公然市场(交易所) 一级市场是什么? 一级市场又称初级市场,是新发行的币种从发行者向投资者出售的市场。简单来说一级市场就是每一个币种在未上交易所之前由发……

    myh0st - 2024年10月17日 11:00


    1 基本概念

    公链 Public Blockchain 公有链(Public Blockchain)简称公链,是指全世界任何人都可随时进入读取、任何人都能发送交易且能获得有效确认的共识区块链。公链通常被认为是完全去中心化的,链上数据都是公开透明的,不可更改,任何人都可以通过交易或挖矿读取和写入数据。一般会通过代币机制(Token)来鼓励参与者竞争记账,来确保数据的安全性。 交易所 Exchang 与买卖股票的证……

    myh0st - 2024年10月17日 10:57


    第一期 区块链入门知识

    了解区块链相关技术 https://www.bilibili.com/video/BV1Vt411X7JF/?vd_source=46b87a83ff1ac8f06aa40d6801a00b21

    myh0st - 2024年10月17日 10:55


    第五步 漏洞发现流程

    回顾一下之前的操作,我们已经获得了一份经过去重的网站列表和 URL 列表,分别是: website.txt 网站列表 url.txt URL 列表 接下里,我们要对这些资产进行漏洞的扫描探测。 0x01 针对 URL 列表进行漏洞探测 针对带参数的 URL 进行漏洞扫描,选择工具的话,可以分两类,专项漏洞检测以及综合漏洞检测: 专项漏洞检测,也就是针对大量 URL 检测单个漏洞的工具 综合……

    myh0st - 2024年8月2日 11:49


    第四步 提取网站链接并去重

    在之前的内容中,已经获得了一份比较精简的目标网站列表,其中不包含不同域名指向相同系统的情况,不包含存在 waf 的情况,接下来这对这些网站进行一轮链接收集,使用到的技术主要是爬虫。 第一步:利用爬虫抓取网站链接 关于爬虫根据获取网站内容的方式分为两类: 1、静态爬虫,使用基础的网站请求技术,无法动态执行网站中的 JavaScript 脚本,只能静态分析网页内容 2、动态爬虫,访问网页内容的核心技术……

    myh0st - 2024年8月2日 11:47


    第三步 网站信息收集

    在获取到网站连接之后,接下来要针对这些网站进行验活、去重、指纹识别、waf识别以及网站截图工作,这篇文章将从一份网站列表文件为起始点,完成以上的工作。 0x01 网站验活 验证网站是否存活的方式就是去访问,然后根据访问返回的信息来判断网站是否存活,这里不用考虑网站返回的状态码是否是 200,其他状态码也可以保留。 推荐工具 httpx,该工具是由 go 语言编写,编译好之后即可使用,参考命令: ……

    myh0st - 2024年8月2日 11:46


    第一步 工具组合收集子域名

    这个不是什么开源工具,主要完成以下工作: 1、使用 Oneforall、amass、ksubdomain 针对目标进行域名收集 2、将所有结果进行汇总,然后提取所有目标到对应的文件中 3、使用 dnsgen 基于收集到的域名列表,生成新的字典,然后使用 ksubdomain 进行验证 4、最后将所有存活的域名和IP对应列表整理出来,输出文件 其中涉及开源工具以及自定义脚本实现数据的整合处理。 第一……

    myh0st - 2024年8月2日 11:45


    第二步 实现从域名到网站链接的转变

    在获得一份域名列表之后,如何收集端口信息,有了端口信息之后,如何通过指纹识别,提取所有网站,最后形成一个网站的合集。 在操作之前先定义好数据格式: 1、子域名列表 subdomain.txt 保存所有子域名,不包含 IP 地址 2、子域名和 IP 的对应关系,sub2ip.txt,域名和 ip 之间使用 tab 符进行分割 3、ip 地址列表 iplist.txt,去重后的结果保存至 un_ipl……

    myh0st - 2024年8月2日 11:44


    第一期 企业 SRC 实训

    通过实战引导的方式实现漏洞发现能力的提升,本次实训会将整个挖洞过程进行拆分,以微任务的方式,通过实战来完成课程,实现挖洞自由。 任务拆分 1、调研国内各 SRC 平台的收录范围,操作规范等内容 2、针对某 SRC 平台的收录范围,收集目标相关其实资产,尽可能多的实现资产的覆盖 3、调研自动化挖洞程序,可以输入目标一键出漏洞的平台,了解其执行流程 4、对自动化挖洞流程进行拆分,分阶段研究其自定义部分……

    myh0st - 2024年8月1日 15:39



    myh0st