我們發(fā)現(xiàn)很多網(wǎng)站用IIS環(huán)境尤其是aspx+sqlserver架構(gòu)的網(wǎng)站總是被攻擊，具體先是接到阿里云的通知說是有違規(guī)URL通知，然后過了幾天發(fā)現(xiàn)百度site網(wǎng)站域名，多了很多與網(wǎng)站本身內(nèi)容不相關(guān)的垃圾快照內(nèi)容，攻擊從百度點擊這個快照地址進去后顯示404找不到頁面，但從百度站長工具里抓取頁面就能看到內(nèi)容，說明攻擊者對搜索引擎的UA標(biāo)識做了判斷進行混淆，導(dǎo)致從肉眼看不出任何問題，但快照依然在繼續(xù)增加新收錄。
細化你的目標(biāo)，制定具體的學(xué)習(xí)內(nèi)容例如咱們定個目標(biāo)，寫一個PE的保護殼，那你首先要做的是什么呢？先去google搜索PE的保護殼有哪些種？比如壓縮殼，加密殼，虛擬機等等，難度高低怎么樣？對于入門者來說，壓縮殼相對簡單，那就從這個開始學(xué)。接著去github或者google搜索開源的PE壓縮殼和相應(yīng)的教程。發(fā)現(xiàn)PE壓縮殼有用匯編寫的，有用C，C++寫的，這個時候咱們可以先選擇匯編來寫。

多元業(yè)務(wù)意味著防護方式也需要多種接入方式，如果采用一個個單的防護產(chǎn)品：一方面，企業(yè)面臨的安全產(chǎn)品部署成本將會很高；另一方面，分散的產(chǎn)品也會給安全防護的效率、性能各方面帶來壓力，如：一家企業(yè)用了三個單的安全產(chǎn)品，日常就需要管理三個賬號，而且可能數(shù)據(jù)也不可共享。顯然，傳統(tǒng)的“一個蘿卜一個坑”的產(chǎn)品部署模式對于企業(yè)來說并不理想，整體解決方案的需求迫在眉睫。

然后就查詢一下壓縮殼原理的教程和書籍，比如書籍推薦《加密與解析》，對比著開源殼的代碼去理解，如果匯編不懂，找到一本匯編書，比如王爽的匯編入門書籍，不要全看完，對比著殼代碼看到哪去學(xué)哪。整體的學(xué)習(xí)過程變成了：PE保護殼-》壓縮殼-》匯編壓縮殼-》搜索開源代碼和原理教程-》對比著殼代碼，看匯編書籍理解將目標(biāo)越來越細化，你就越清楚自己做什么。
3.反饋學(xué)習(xí)是一個不斷反饋的過程，你在第2步的學(xué)習(xí)過程中，作為初學(xué)者肯定不會這么順利，看看開源代碼也會遇到不懂得地方，自己寫的代碼的時候肯定也會調(diào)試不通，這時候就接著去找資料，看書，調(diào)試，搞懂。正常的學(xué)習(xí)過程一般是：學(xué)習(xí)-》應(yīng)用-》反饋-》接著學(xué)習(xí)4.推薦CTFCTF比賽還是非常推薦的，為啥這么說呢？有兩點吧。

SQL注入運用，學(xué)習(xí)培訓(xùn)XSS網(wǎng)絡(luò)平臺運用代碼學(xué)習(xí)XSS運用。
管理權(quán)限維系、內(nèi)網(wǎng)滲透：進到目標(biāo)信息，開展橫縱擴展，向滲透目標(biāo)靠進，目標(biāo)獲得、清理痕跡：獲得滲透目標(biāo)管理權(quán)限或數(shù)據(jù)資料，發(fā)送數(shù)據(jù)資料，開展清理痕跡。之上，便是有關(guān)滲透測試流程小編的許多小結(jié)。特別注意的是：1.在網(wǎng)站滲透測試環(huán)節(jié)中不必開展例如ddos攻擊，不損壞數(shù)據(jù)資料。2.檢測以前對關(guān)鍵數(shù)據(jù)資料開展自動備份。一切檢測實行前務(wù)必和用戶開展溝通交流，以防招來很多不必要的不便。3.可以對初始系統(tǒng)生成鏡像系統(tǒng)環(huán)鏡，隨后對鏡像系統(tǒng)環(huán)境開展檢測。4.確立網(wǎng)站滲透測試范疇。
在這個小盒子里，作系統(tǒng)敘述了網(wǎng)站滲透測試的主要工作流程，每一個工作流程所相匹配的知識要點，及其4個cms站點滲透實戰(zhàn)演練訓(xùn)練，此外還包含在滲透的終如何去寫這份高質(zhì)量的網(wǎng)站滲透測試報告。這種信息全部都是以1個從業(yè)人員的視角開展解讀，融進了許多經(jīng)驗分享，期待來學(xué)習(xí)培訓(xùn)的大家都有一定的獲得，現(xiàn)階段有滲透測試服務(wù)需求的，如果你覺得服務(wù)內(nèi)容非常棒的情況下，國內(nèi)SINE安全，綠盟，盾安全，啟明星辰等等都是做滲透測試服務(wù)的，喜歡的可以去看一下。
如果想要對自己的網(wǎng)站或APP進行安全測試，那就得需要我們SINESAFE進行全面的安全滲透測試進行漏洞審計和檢測。
http://mmsped.com