记录一些资源网站,包括但不限于学习网站、CTF网站、面经网站、工具网站、搞笑有趣网站等等。
各大src地址
https://blog.csdn.net/Amdy_amdy/article/details/82801824
腾讯安全玄武实验室
web安全圣经
web之困
指导
大部分走在网安路上的孩纸一般都会打打CTF比赛。从web方向来看,有很多奇淫技巧是在一般场景中遇不到的,但在脑洞大开、各种姿势的CTF比赛中会出现。(那个,,pwn选手不要打我)。认真的打每一场CTF比赛,记录下各种wp,我觉得是提高姿势的一个挺好的方法。另外就是,web方向的,还需要渗透/实战,题主可以去各大SRC刷一刷,拿拿礼品,提提水平,赚赚小礼品/大钱。除了渗透,web需要的比如代码审计功底,题主可以自己对各种漏洞进行分析,复现环境,写分析报告。一些cms应用网上可以自己下,一些比较麻烦的可以用p师傅的phith0n/vulhub 以及 Medicean师傅的 Medicean/VulApps 还有姿势的水平,光从比赛中打和学,可能会觉得知识点零散,或者并不深入。可以关注各大安全网站的文章,比如Sec-News 安全文摘,腾讯玄武实验室的每日安全动态推送,360的安全客,freebuf的文章,知道创宇的paper等等。当然这些文章可能分散多处,需要集齐才可召唤神龙/flag,我。。我不要脸的 推荐一个repo:CHYbeta/Web-Security-Learning 根据知识点稍稍做了分类,应该能帮到大家把。还有,安全嘛,攻与防是不断升级的,所以在这一块是要随时关注动态的。除了前面推荐的一些网站,你可以关注一些牛人的微博/twitter/知乎,比如微博里的tk教主,猪猪侠,还有经常撸猫的Ricter师傅等,twitter里的长短短师傅等,知乎里的某些大牛(不说了,有几位经常开车)。最后,我觉得这才是重点:Ricter 大佬说了玄武偏向于二进制漏洞