1.基础知识

局域网 LAN (Local Area Network)
广域网 WAN(Metropolitan Area Network)
内网与外网
映射，端口映射由路由器负责将端口映射给服务器
网卡，网关有网卡一定有网关（看门大爷）
桥接，NAT 前者为同一级别（网关一定相同），后者为父子关系
Shell，WebShell Shell就是一个控制操作计算机的一个命令行界面 WebShell是通过网页形式控制操作计算机的一个命令行网页界面
正反向Shell 前者黑客主动连接受害者，后者受害者主动连接黑客
Cookie，Session 前者数据存放在客户端，后者存放在服务端，本质是一个保存状态的文件
ByPass 绕过
攻击，入侵，渗透，DDOS，肉鸡
代码审计看代码找bug，审计工具会帮助安全人员快速找bug
CTF,AWD Capture The Flag 夺旗赛 Attack With Defence
靶机，DVWA，CMS 搭建好的漏洞测试环境的计算机和软件合集内容管理系统，俗称后台
渗透，攻击工具 Kali,Sqlmap,Burpsuite
后渗透建立持久访问

2.HTML

超文本标记语言（Hyper Text Markup Language）

3.CSS

层叠样式表（Cascading Style Sheets）

4.SQL注入

`inurl id?=16`

联合注入

select * from student where id = 1 union select 1,2,3,4from admin;
 
select * from student where id = 1 and exists(select username from admin);

5.XSS漏洞

（Cross Site Script）跨站脚本攻击
网页内嵌入HTML，CS，JS代码

分类

反射性—前端→后端→前端前端输入<script>(document.cookie);<script>类似获取，修改内容
存储型—前端→后端→数据库→前端
DOM型—前端

6.CSRF

(Cross Site Request Forgery) 跨站请求伪造攻击者盗用身份，以被盗用者的名义发送恶意请求

7.文件包含漏洞

本地文件包含
远程文件包含

8.代码审计

熟悉程序语言
熟悉代码风险操作
熟悉设计模式

9.SSRF

（Server-Side Request Forgery,服务器端请求为制造）由攻击者构造攻击链传给服务器，服务器端执行并发起请求造成安全问题的漏洞，一般用来在外网探测或攻击内网服务