一、渗透测试整体框架四步走:1.信息收集2.外网入口3.权限提升与维持4.内网渗透1.信息收集技术信息收集端口信息:nmap扫描ip信息,c端扫描、撒旦、zoomeye、fofa等域名信息收集、二级域名爆破、域名注册信息应用实别、网站cms实别、目录扫描、信息泄露实别(git、svn等)公开情报收集公司人员组织的信息,即利用社会工程学2.外网入口web服务器VPN服务器邮箱服务器apk逆向wifi接口其他3.权限维持与提升web后门系统后门权限提升权限维持4.内网渗透内网信息收集工作组和域横向拓展和纵向拓展二、学习路线web基础漏洞原理编程能力实战练习1.web基础编程基础:脚本语言,开发语言网络基础:tcp/ip 、http、dns服务器的基本使用:linux/windows,基本操作命令、如何搭建WEB服务器(apache+php+mysql工具使用:wireshark burpsuite2.漏洞原理、防火墙owasp top103.编程能力脚本、工具、poc、编写三、学习资源整理实践:ctf题目、在线靶场、自己搭建环境、src书籍关注私信“学习”即可免费获取60G学习资料!靶场dvwa,pikachu,awvs